Nacos是一套帮助您发现、配置和管理微服务的程序。提供一组简单易用的特性集,能够快速的实现动态服务发现、服务配置、服务元数据以及流量管理。
在Nacos 2.0版本存在未授权访问漏洞,程序未有效对于用户权限进行判断,导致能够添加任意用户、修改任意用户密码等等问题。
通过官方github咱们找到相关下载链接:
https://github.com/alibaba/nacos/releases/download/2.0.0-ALPHA.1/nacos-server-2.0.0-ALPHA.1.tar.gz
Windows下面运行 *** :
解压nacos-server-2.0.0-ALPHA.1.tar.gz
访问cd nacos-server-2.0.0-ALPHA.1 acos\bin
运行.\startup.cmd -m standalone
Linux 下面运行 *** :
解压tar -zxvf nacos-server-2.0.0-ALPHA.1.tar.gz
访问cd nacos-server-2.0.0-ALPHA.1 acos\bin
运行https://www.freebuf.com/articles/web/startup.sh -m standalone
笔者在Windows下面测试运行后如下:
能够看到Console为访问地址http://192.168.189.1:8848/nacos/index.html#/login。
到这步表示环境搭建成功。
通过默认用户名和密码nacos/nacos登录系统。
选择权限控制->用户列表->角色列表->创建用户。
咱们在添加用户时候进行抓包,将数据包之中accessToken值和属性进行删除。
通过发包器进行发送,得到成功的响应提示。
在刷新界面之后,成功添加test2用户,用户密码为test2。
同理在用户密码重置功能,能够前台重置任意用户密码。
其他功能也会存在同样类型问题。
这个问题是权限控制模块还没开发完成。
在这里已经说到相关问题https://github.com/alibaba/nacos/issues/1105。
在权限控制开发完成之前更好不要对非信任 *** 开放平台。
开发完成之后抓紧更新修复该问题。
“找上海熟女伴游服务项目-【许雪萍】” 九江空中小姐免费看图预定休重:53KG一线城市:成都市、杭州市、重庆市、武汉市、苏州市、西安市、天津市、南京市、郑州市、长沙市、沈阳市、青岛市、宁波市、东莞市和...
场景化阐明可以让设计师直击用户痛点,发明精准的用户体验问题,从而通过精准的问题界说明晰的设计方针。 01 媒介 跟着即时通讯的飞速成长,人与人之间的相同方法已经完全习惯于线上的场景。对付五大民生之一...
狗狗不吃东西有时可能没事,调节下食物,过几天就好了;但有时候可能是生病了,就需要对症治疗。当然,这只是一个大概的说法,那么,详细来说狗狗不吃东西到底是怎么回事?该怎么办能有效解决问题?下面我为大家详细...
qq里找的黑客帮忙弄密码靠谱吗相关问题 黑客控制手机摄像头可以录像吗相关问题 安琪拉少女黑客如何获得 喀土穆天气(苏丹喀土穆)...
很多家长依旧热衷给孩子做检查。秃枕、出牙晚、哭闹、不爱吃饭、经常感冒……总之孩子一有点不适,就和缺微量元素挂上钩。这微量元素真的那么厉害吗?孩子平日里这些所有的问题,都是微量元素惹的祸吗?下面友谊长存...
自古以来,人们非常注重孩子的生肖。不过生肖的划分是有规定的。那么2018年是什么生肖年?2018年出生属什么生肖?下面和小编了解下! 2018年是什么生肖年 根据万年历得出 2018年1月1...