国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

<center id="mm31x"></center>

prometheus涉及pprof go信息泄露漏洞整改

2年前作者：星? 星分類：Toy博客閱讀(23)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了prometheus涉及pprof go信息泄露漏洞整改。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

Prometheus涉及pprof go信息泄露漏洞整改

本文記錄一下對(duì)系統(tǒng)滲透測(cè)試后反饋Prometheus涉及pprof go信息泄露，驗(yàn)證方法為http://ip:port/debug/pprof。為防止未經(jīng)授權(quán)用戶訪問(wèn)，現(xiàn)決定在Prometheus層面使用basic_auth加密整改。

環(huán)境配置

軟件	版本
Kylin	V10
Docker	20.10.22
Prometheus	2.19.0

1.生成basic_auth密鑰

安裝工具包并生成加密后密碼

#安裝工具包
yum install -y httpd-tools
#生成加密密碼
htpasswd -nBC 12 '' | tr -d ':\n'
New password:               # 這里設(shè)置密碼為Prometheus，實(shí)際使用請(qǐng)按照自己的集群需求定義密碼
Re-type new password:
#生成的密碼信息
$2y$12$SiMWc.Avsx4BE59PT88GcefVkJGBYduzMP5kXeV2EyDxgKvODGhBW

2.將密鑰文件寫入config.yml文件內(nèi)

新建配置文件（暫時(shí)不使用TLS，使用TLS加密后Grafana獲取不到數(shù)據(jù)，還需修改數(shù)據(jù)源配置）

cat > /usr/prometheus/config.yml<<EOF
basic_auth_users:
  # 當(dāng)前設(shè)置的用戶名為admin， 可以設(shè)置多個(gè)
  admin: $2y$12$SiMWc.Avsx4BE59PT88GcefVkJGBYduzMP5kXeV2EyDxgKvODGhBW
EOF

3.修改prometheus配置

新增basic_auth配置

scrape_configs:
  - job_name: 'prometheus'
    basic_auth:
      username: admin
      password: prometheus
    static_configs:
    - targets: ['prometheus:9090']

4.啟動(dòng)服務(wù)

4.1 service模式

修改/usr/lib/systemd/system/prometheus.service文件，在ExecStart后面追加-web.config.file=/usr/prometheus/config.yml

4.2 docker模式

修改鏡像版本（≥2.40），在服務(wù)啟動(dòng)腳本命令內(nèi)增加 --web.config.file配置

docker run -d --restart=unless-stopped --name=prometheus -p 9090:9090 -v /usr/prometheus/prometheus.yml:/etc/prometheus/prometheus.yml -v /usr/prometheus/config.yml:/etc/prometheus/config.yml prom/prometheus:v2.24.0 --config.file=/etc/prometheus/prometheus.yml --web.config.file=/etc/prometheus/config.yml

5.訪問(wèn)測(cè)試

返回Unauthorized即整改完成文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-784973.html

[root@localhost ~]# curl http://127.0.0.1:9090/debug/pprof/
Unauthorized

到了這里，關(guān)于prometheus涉及pprof go信息泄露漏洞整改的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

實(shí)戰(zhàn)敏感信息泄露高危漏洞挖掘利用
信息泄露就是某網(wǎng)站某公司對(duì)敏感數(shù)據(jù)沒(méi)有安全的保護(hù)，導(dǎo)致泄露敏感被攻擊者利用，例如泄露：賬號(hào)，密碼，管理員，身份證，數(shù)據(jù)庫(kù)，服務(wù)器，敏感路徑等等如果進(jìn)了業(yè)務(wù)系統(tǒng)可以SQL注入，文件上傳，getshell獲取服務(wù)器權(quán)限高危操作例如：可以根據(jù)賬號(hào)，猜測(cè)默認(rèn)密碼
2023年04月08日
瀏覽(32)
CVE-2023-28432 MinIO 信息泄露漏洞--漏洞復(fù)現(xiàn)10
微信公眾號(hào)搜索：南風(fēng)漏洞復(fù)現(xiàn)文庫(kù) 南風(fēng)網(wǎng)絡(luò)安全公眾號(hào)首發(fā) MinIO是美國(guó)MinIO公司的一款開源的對(duì)象存儲(chǔ)服務(wù)器，是一款高性能、分布式的對(duì)象存儲(chǔ)系統(tǒng). 它是一款軟件產(chǎn)品, 可以100%的運(yùn)行在標(biāo)準(zhǔn)硬件。即X86等低成本機(jī)器也能夠很好的運(yùn)行MinIO。MinIO中存在一處信息泄露漏洞，
2024年02月01日
瀏覽(32)
【漏洞復(fù)現(xiàn)】大華DSS視頻管理系統(tǒng)信息泄露漏洞
????????大華DSS數(shù)字監(jiān)控系統(tǒng)是一個(gè)在通用安防視頻監(jiān)控系統(tǒng)基礎(chǔ)上設(shè)計(jì)開發(fā)的系統(tǒng)，除了具有普通安防視頻監(jiān)控系統(tǒng)的實(shí)時(shí)監(jiān)視、云臺(tái)操作、錄像回放、報(bào)警處理、設(shè)備治理等功能外，更注重用戶使用的便利性。 ????????大華DSS視頻管理系統(tǒng)存在信息泄露漏洞，攻擊
2024年02月21日
瀏覽(16)
4.8、漏洞利用-NSF配置漏洞與Rpcbind信息泄露
目錄 1、相關(guān)服務(wù)介紹 1.1 NFS 1.2 RPC服務(wù) 2、探測(cè)目標(biāo)rpcbind 2.1 探測(cè)版本信息 2.2 nmap腳本探測(cè) 2.3 使用metasploit模塊驗(yàn)證 NFS(network file system)：網(wǎng)絡(luò)文件系統(tǒng)。Linux下三大文件系統(tǒng)之一，采用C/S架構(gòu)。允許網(wǎng)絡(luò)中的計(jì)算機(jī)之間通過(guò)TCP/IP網(wǎng)絡(luò)共享資源。在NFS應(yīng)用中，本地NFS客戶端可以
2024年02月02日
瀏覽(21)
Goby 漏洞更新｜ThinkPHP Debug 模式日志信息泄露漏洞
ThinkPHP 是一個(gè)免費(fèi)開源的，快速、簡(jiǎn)單的面向?qū)ο蟮妮p量級(jí)PHP開發(fā)框架。ThinkPHP Debug 模式存在日志信息泄露漏洞，在開啟Debug的情況下會(huì)在Runtime目錄下生成日志，攻擊者通過(guò)構(gòu)造特殊URL地址，讀取日志敏感信息。 ThinkPHP Debug 模式存在日志信息泄露漏洞，在開啟Debug的情況下會(huì)
2024年02月04日
瀏覽(27)
Web漏洞-敏感信息泄露-后臺(tái)地址爆破
通過(guò)爬蟲去爬取網(wǎng)站目錄，然后將爬取到目錄進(jìn)行展現(xiàn)，同時(shí)也可以匹配關(guān)鍵目錄，如：admin,manger等。實(shí)驗(yàn)環(huán)境：kali 實(shí)驗(yàn)工具：Dirb 默認(rèn)情況下后臺(tái)地址是不應(yīng)被搜索引擎爬取到，因?yàn)楹笈_(tái)涉及到關(guān)鍵信息的展示和配置，如果后臺(tái)地址簡(jiǎn)單或者后臺(tái)存在未授權(quán)問(wèn)題，則會(huì)給
2024年02月12日
瀏覽(25)
.git文件夾信息泄露漏洞利用
未經(jīng)授權(quán)請(qǐng)勿利用文章中的技術(shù) 資料對(duì)任何計(jì)算機(jī)系統(tǒng)進(jìn)行入侵操作。利用此文所提供的信息而造成的直接或間接后果和損失，均由使用者本人負(fù)責(zé)。無(wú)意中使用x-ray被動(dòng)掃描，掃描出了一個(gè)git文件信息泄露。通過(guò)手動(dòng)驗(yàn)證確實(shí)可以下載到.git配置文件（.git文件夾是來(lái)自于
2024年02月15日
瀏覽(19)
漏洞修復(fù)---SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)
1.查看當(dāng)前openssl版本 ? ? ? 我線上版本是?? OpenSSL 1.0.2k-fips?26?Jan?2017 ?官網(wǎng)下載最新版本【當(dāng)前我下載的版本為 openssl-1.1.1q】 2.將壓縮包上傳到linux服務(wù)器 ? ? tar -zxvf?openssl-1.1.1q.tar.gz 3.編譯安裝 4.?移除老版本openssl 5. 查看版本 openssl version 報(bào)錯(cuò)? ? openssl: error while loadi
2024年02月16日
瀏覽(24)
解決漏洞：SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)
錯(cuò)誤詳情：解決方案 ?win2012R2解決辦法參考鏈接：Browse code samples | Microsoft Learn 下載該ps1的文件。下載該ps1的文件。首先運(yùn)行PowerShell后去文件夾中運(yùn)行，或者直接輸入 D:Solve-Sweet32.ps1 即可參考鏈接? SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)解決辦法（WindowsServer2012r2 3389端口）
2024年02月12日
瀏覽(24)
CVE-2023-28432 MiniO信息泄露漏洞復(fù)現(xiàn)
MiniO 是一個(gè)基于 Apache License v2.0 開源協(xié)議的對(duì)象存儲(chǔ)服務(wù)。它兼容亞馬遜 S3 云存儲(chǔ)服務(wù)接口，非常適合于存儲(chǔ)大容量非結(jié)構(gòu)化的數(shù)據(jù)，例如圖片、視頻、日志文件、備份數(shù)據(jù)和容器/虛擬機(jī)鏡像等在集群部署的 Minio 中，未授權(quán)的攻擊者可發(fā)送惡意的 HTTP 請(qǐng)求來(lái)獲取 Minio 環(huán)境
2024年02月12日
瀏覽(48)