weixin_43674800 2024-05-16 10:10 采纳率: 93.4%
浏览 31

nacos身份认证绕过漏洞修复失败

nacos版本 2.0.3,存在身份认证绕过漏洞,例如访问地址 http://172.16.102.5:8848/nacos/v1/auth/users?pageNo=1&pageSize=10

img

我按网上教程修改了配置文件application.properties 中的 token.secret.key、nacos.core.auth.server.identity.key 和 nacos.core.auth.server.identity.value,如下图

img

修改完毕重启naocs服务,访问地址依然会出现账号密码信息,不知道为啥

  • 写回答

3条回答 默认 最新

  • 阿里嘎多学长 2024-05-16 10:13
    关注

    以下内容由CHATGPT及阿里嘎多学长共同生成、有用望采纳:

    您想要解决的问题

    您的目的在于解决在使用Nacos版本2.0.3时遇到的一个安全问题,即存在的身份认证绕过漏洞。这个问题导致即使在尝试修复后,通过特定的URL访问,仍然能够泄露账号和密码信息。

    图片内容

    1. 第一张图片显示了一个不安全的HTTP请求,其中包含了用户名"nacos"和"smartEiderlyCare"以及对应的密码哈希。这表明存在一个漏洞,允许未授权的用户访问敏感信息。
    2. 第二张图片展示了您对application.properties文件所做的修改,包括设置默认的token、启用缓存、禁用用户代理的白名单认证,以及设置了服务器身份认证的键和值。

    问题出现原因

    尽管您已经根据网上的教程修改了配置文件,但问题仍然存在可能是因为:

    • 修改未生效:可能是配置文件未被正确加载,或者重启服务后配置未被应用。
    • 配置错误:可能修改的配置项不正确,或者存在其他相关的配置项需要调整。
    • 缓存问题:如果启用了缓存,可能需要清除缓存或者等待缓存过期。
    • 版本问题:使用的Nacos版本可能存在bug,导致即使修改了配置也无法生效。

    问题解决方案

    1. 确认配置文件的修改:确保application.properties文件的修改被保存,并且没有语法错误。
    2. 重启服务:确保您已经重启了Nacos服务,以便新的配置可以生效。
    3. 检查缓存设置:如果启用了缓存,可能需要清除缓存或等待缓存数据过期。
    4. 检查其他相关配置:除了您修改的配置项外,可能还需要检查其他相关的安全配置。
    5. 升级Nacos版本:如果当前版本存在已知的bug,考虑升级到最新的稳定版本。
    6. 查看日志:检查Nacos的日志文件,以确定是否有关于身份验证失败或配置加载错误的信息。

    提供代码

    由于这个问题主要是配置和环境设置的问题,而不是代码问题,因此不涉及编写或修改代码。

    代码运行方式

    这个问题的解决不涉及代码运行,而是需要通过调整配置和重启服务来解决。

    代码预期运行结果

    预期结果是,在进行了上述步骤后,通过特定的URL访问不再泄露账号和密码信息。

    推荐相关链接

    请根据这些链接获取更多关于Nacos配置和安全的信息,以及可能的解决方案。

    评论 编辑记录

报告相同问题?

问题事件

  • 创建了问题 5月16日

悬赏问题

  • ¥15 鼠标右键,撤销删除 复制 移动,要怎样删除
  • ¥15 使用MATLAB进行余弦相似度计算加速
  • ¥15 服务器安装php5.6版本
  • ¥15 我想用51单片机和数码管做一个从0开始的计数表 我写了一串代码 但是放到单片机里面数码管只闪烁一下然后熄灭
  • ¥20 系统工程中,状态空间模型中状态方程的应用。请猛男来完整讲一下下面所有问题
  • ¥15 我想在WPF的Model Code中获取ViewModel Code中的一个参数
  • ¥15 arcgis处理土地利用道路 建筑 林地分类
  • ¥20 使用visual studio 工具用C++语音,调用openslsx库读取excel文件的sheet问题
  • ¥100 寻会做云闪付tn转h5支付链接的技术
  • ¥15 DockerSwarm跨节点无法访问问题