国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

spring 微服務(wù)nacos未授權(quán)訪問漏洞修復(fù)

2年前作者:菜菜的中年程序猿分類:Toy博客閱讀(20)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了spring 微服務(wù)nacos未授權(quán)訪問漏洞修復(fù)。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。


近來,公司系統(tǒng)做安全滲透又被掃描出了nacos漏洞問題。報(bào)告已對(duì)漏洞進(jìn)行了說明:
Nacos是一個(gè)為動(dòng)態(tài)服務(wù)發(fā)現(xiàn)和配置以及服務(wù)管理而設(shè)計(jì)的平臺(tái)。Nacos如果沒有配置認(rèn)證管理,攻擊者可以在無需授權(quán)的情況下獲取敏感信息。
公司系統(tǒng)使用版本為2.0.3。不支持進(jìn)行認(rèn)證管理,所以解決辦法就是升級(jí)nacos版本到2.0.4。需要注意,升級(jí)nacos版本外,還需要調(diào)整微服中的一些配置。

1 nacos 版本升級(jí)

1.1 nacos 2.0.4下載。

到nacos官網(wǎng)下載2.04版本。

1.2 解壓

下載后上傳至原來服務(wù)器,備份原有nacos。再停nacos服務(wù)。解壓到原有nacos路徑下,直接覆蓋原有版本。

1.3 配置文件修改

修改nacos_home/application.properties。
開啟權(quán)限認(rèn)證。

  nacos.core.auth.enabled=true

spring 微服務(wù)nacos未授權(quán)訪問漏洞修復(fù)

1.4 nacos啟動(dòng)

啟動(dòng)nacos,在nacos/bin目錄下。

  ./ startup.sh

1.5 nacos升級(jí)驗(yàn)證

進(jìn)入nacos管理頁面。看到nacos已經(jīng)升級(jí)到2.0.4.
spring 微服務(wù)nacos未授權(quán)訪問漏洞修復(fù)

2 微服務(wù)升級(jí)

2.1 maven pom文件修改

將微服務(wù)中涉及nacos依賴同步進(jìn)行修改。

<spring-cloud.version>Greenwich.SR4</spring-cloud.version>
<alibaba-cloud.version>2.1.1.RELEASE</alibaba-cloud.version>
<spring-boot.version>2.1.10.RELEASE</spring-boot.version>
<dependency>
    <groupId>com.alibaba.nacos</groupId>
    <artifactId>nacos-client</artifactId>
    <version>1.4.0</version>
</dependency>

修改為

<spring-cloud.version>Greenwich.SR6</spring-cloud.version>
<alibaba-cloud.version>2.1.4.RELEASE</alibaba-cloud.version>
<spring-boot.version>2.1.13.RELEASE</spring-boot.version>
<nacos-client.version>1.4.1</nacos-client.version>

<dependency>
    <groupId>com.alibaba.nacos</groupId>
    <artifactId>nacos-client</artifactId>
    <version>${nacos-client.version}</version>
</dependency>

2.2 修改bootstrap.yml

在bootstrap.yml 中添加nacos用戶密碼。
config 和 discovery 新增,用于權(quán)限認(rèn)證的參數(shù)(用戶名和密碼和nacos登錄的用戶名密碼保持一致):

		username: nacos
		password: nacos
		group: DEFAULT_GROUP

2.3 重啟微服務(wù)

重啟涉及nacos配置相關(guān)的微服務(wù)文章來源地址http://www.zghlxwxcb.cn/news/detail-495031.html

到了這里,關(guān)于spring 微服務(wù)nacos未授權(quán)訪問漏洞修復(fù)的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • Nacos未授權(quán)訪問漏洞

    Nacos未授權(quán)訪問漏洞

    Nacos 的官網(wǎng)地址為: https://nacos.io 它是阿里開源的 SpringCloud Alibaba 項(xiàng)目下的一項(xiàng)技術(shù),可以實(shí)現(xiàn)服務(wù)注冊(cè)中心、分布式配置中心。 一般來說,nacos被建議部署在內(nèi)網(wǎng)中,如果在外網(wǎng)出現(xiàn),會(huì)有很大的風(fēng)險(xiǎn)。 訪問nacos頁面,發(fā)現(xiàn)是登錄頁面,可以先嘗試使用弱口令,nacos/nacos 嘗

    2024年02月09日
    瀏覽(20)
  • ElasticSearch9200端口未授權(quán)訪問漏洞修復(fù)

    ElasticSearch9200端口未授權(quán)訪問漏洞修復(fù)

    ElasticSearch 是一款Java編寫的企業(yè)級(jí)搜索服務(wù),啟動(dòng)此服務(wù)默認(rèn)會(huì)開放HTTP-9200端口,可被非法操作數(shù)據(jù)。 例如 ip:9200/_cat可以直接訪問等。。 高危 9200端口不對(duì)外開放,如需開放,需在安全組限制只允許指定IP才能訪問9200端口 // accept // drop // 保存規(guī)則 重啟iptables 這就成功了,親

    2024年02月11日
    瀏覽(24)

  • 【漏洞】【Druid】Druid未授權(quán)訪問漏洞,修復(fù)方案。springboot

    漏洞描述: Druid是阿里巴巴數(shù)據(jù)庫出品的,為監(jiān)控而生的數(shù)據(jù)庫連接池,并且Druid提供的監(jiān)控功能,監(jiān)控SQL的執(zhí)行時(shí)間、監(jiān)控Web URI的請(qǐng)求、Session監(jiān)控,首先Druid是不存在什么漏洞的。但當(dāng)開發(fā)者配置不當(dāng)時(shí)就可能造成未授權(quán)訪問。 解決建議: 修改中間件配置 給出的例子,

    2024年02月11日
    瀏覽(30)
  • MongoDB未授權(quán)訪問漏洞驗(yàn)證與修復(fù)過程

    MongoDB未授權(quán)訪問漏洞驗(yàn)證與修復(fù)過程

    環(huán)境:Windows,MongoDB3.2 本文是Windows!Windows!Windows!環(huán)境下 可以看到該ip存在MongoDB未授權(quán)訪問漏洞,沒有進(jìn)行身份驗(yàn)證 可以看到連接被拒絕

    2024年02月11日
    瀏覽(22)
  • Nacos未授權(quán)訪問漏洞(CVE-2021-29441)

    Nacos未授權(quán)訪問漏洞(CVE-2021-29441)

    聲明:本文僅供學(xué)習(xí)參考,其中涉及的一切資源均來源于網(wǎng)絡(luò),請(qǐng)勿用于任何非法行為,否則您將自行承擔(dān)相應(yīng)后果,本人不承擔(dān)任何法律及連帶責(zé)任。加粗樣式 Nacos 是阿里巴巴推出來的一個(gè)新開源項(xiàng)目,是一個(gè)更易于構(gòu)建云原生應(yīng)用的動(dòng)態(tài)服務(wù)發(fā)現(xiàn)、配置管理和服務(wù)管理平

    2024年02月07日
    瀏覽(25)

  • Spring Boot Actuator未授權(quán)訪問漏洞

    Spring Boot Actuator 端點(diǎn)的未授權(quán)訪問漏洞是一個(gè)安全性問題,可能會(huì)導(dǎo)致未經(jīng)授權(quán)的用戶訪問敏感的應(yīng)用程序信息。 可是并不用太過擔(dān)心,Spring Boot Actuator 默認(rèn)暴漏的信息有限,一般情況下并不會(huì)暴露敏感數(shù)據(jù)。 注冊(cè)中心有些功能集成了actuator,如果同時(shí)使用eureka和actuator,可

    2024年02月13日
    瀏覽(19)

  • spring boot未授權(quán)訪問及Swagger漏洞處理

    無需修改源碼,處理spring boot未授權(quán)訪問及Swagger漏洞處理 風(fēng)險(xiǎn)程度 :【高?!?漏洞概述 : 未授權(quán)訪問可以理解為需要安全配置或權(quán)限認(rèn)證的地址、授權(quán)頁面存在缺陷,導(dǎo)致其他用戶可以直接訪問,從而引發(fā)重要權(quán)限可被操作、數(shù)據(jù)庫、網(wǎng)站目錄等敏感信息泄露。登陸驗(yàn)證一

    2024年02月16日
    瀏覽(26)
  • 如何解決 Spring Boot Actuator 的未授權(quán)訪問漏洞

    如何解決 Spring Boot Actuator 的未授權(quán)訪問漏洞

    Spring Boot Actuator ?的作用是提供了一組管理和監(jiān)控端點(diǎn),允許你查看應(yīng)用程序的運(yùn)行時(shí)信息,例如健康狀態(tài)、應(yīng)用程序信息、性能指標(biāo)等。這些端點(diǎn)對(duì)于開發(fā)、 測(cè)試 ?和運(yùn)維團(tuán)隊(duì)來說都非常有用,可以幫助快速診斷問題、監(jiān)控應(yīng)用程序的性能,并采取必要的措施來維護(hù)和管理

    2024年02月07日
    瀏覽(30)
  • 解決BladeX微服務(wù)Swagger資源未授權(quán)訪問漏洞

    解決BladeX微服務(wù)Swagger資源未授權(quán)訪問漏洞

    客戶線上環(huán)境,第三方進(jìn)行安全檢測(cè)時(shí)候,反饋來一個(gè)\\\"Spring\\\"接口未授權(quán)訪問漏洞。如圖: 服務(wù)平臺(tái)后端采用開源框架BladeX微服務(wù)版本。BladeX 是由一個(gè)商業(yè)級(jí)項(xiàng)目升級(jí)優(yōu)化而來的SpringCloud微服務(wù)架構(gòu),采用Java8 API重構(gòu)了業(yè)務(wù)代碼,完全遵循阿里巴巴編碼規(guī)范。采用Spring Boot

    2024年04月17日
    瀏覽(24)

  • 謹(jǐn)防利用Redis未授權(quán)訪問漏洞入侵服務(wù)器

    Redis是一個(gè)開源的,由C語言編寫的高性能NoSQL數(shù)據(jù)庫,因其高性能、可擴(kuò)展、兼容性強(qiáng),被各大小互聯(lián)網(wǎng)公司或個(gè)人作為內(nèi)存型存儲(chǔ)組件使用。 但是其中有小部分公司或個(gè)人開發(fā)者,為了方便調(diào)試或忽略了安全風(fēng)險(xiǎn),直接用root啟動(dòng)redis,沒有設(shè)置密碼并直接對(duì)外開放了6379端口

    2024年02月05日
    瀏覽(26)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包