当前位置：首页 > news >正文

渗透测试修复笔记 - 04 nacos 可能会导致未经授权的用户获取到系统中的敏感信息的漏洞

news 2026/2/10 1:04:34

问题：该漏洞可能会导致未经授权的用户获取到系统中的敏感信息。

http://ip地址:8848/nacos/v1/auth/users?pageNo=1&pageSize=9

最直接的解决办法就是升级nacos版本
如果不升级的话还是沿用旧版本就修改相关配置

当前版本为2.0.4

1.nacos的docker-compose文件增加环境变量：NACOS_AUTH_ENABLE=true

nacos:image: nacos-server:2.0.4-slim-ARMcontainer_name: nacosvolumes:- type: volumesource: nacos-logstarget: /home/nacos/logs- type: volumesource: nacos-conftarget: /home/nacos/confports:- "8848:8848"environment:- MODE=standalone- NACOS_AUTH_ENABLE=true  # 增加配置

2.2.nacos的application.properties文件修改

    nacos.core.auth.system.type=nacos# 开启鉴权nacos.core.auth.enabled=true# 这里进行修改nacos.core.auth.default.token.expire.seconds=18000nacos.core.auth.default.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789# 权限缓存开关 ,开启后权限缓存的更新默认有15秒的延迟nacos.core.auth.caching.enabled=true  # 关闭使用user-agent判断服务端请求并放行鉴权的功能nacos.core.auth.enable.userAgentAuthWhite=false# 配置自定义身份识别的key（不可为空）和value（不可为空）nacos.core.auth.server.identity.key=nacosnacos.core.auth.server.identity.value=nacos密码（不要用默认密码）  # 这里进行修改

3.修改应用服务docker compose文件配置，增加nacos相关配置

test:image: test:1.0.0-RELEASEcontainer_name: testnetwork_mode: hostrestart: alwaysulimits:nproc: 65535nofile: 65535environment:- PROFILE=prod- JAVA_OPTS=-server -Xms1024m -Xmx4096m -Xmn1024m -XX:MetaspaceSize=128m -XX:MaxMetaspaceSize=512m- spring.cloud.nacos.discovery.server-addr=nacosIP地址:8848- spring.cloud.nacos.discovery.username=nacos账号 # 增加配置- spring.cloud.nacos.discovery.password=nacos密码 # 增加配置- spring.cloud.nacos.config.server-addr=nacosIP地址:8848 - spring.cloud.nacos.config.username=nacos账号 # 增加配置- spring.cloud.nacos.config.password=nacos密码 # 增加配置- PAGEHELPER_BANNER=false

渗透测试修复笔记 - 04 nacos 可能会导致未经授权的用户获取到系统中的敏感信息的漏洞

问题：该漏洞可能会导致未经授权的用户获取到系统中的敏感信息。 http://ip地址:8848/nacos/v1/auth/users?pageNo1&pageSize9 最直接的解决办法就是升级nacos版本如果不升级的话还是沿用旧版本就修改相关配置当前版本为2.0.4 1.nacos的docker-compose文件…...

编程日记 2024/3/14 22:49:07

初级代码游戏的专栏介绍与文章目录

我的github： codetoys，所有代码都将会位于ctfc库中。已经放入库中我会指出在库中的位置。这些代码大部分以Linux为目标但部分代码是纯C的，可以在任何平台上使用。一、大型专题 1.1 C嵌入式HTTP服务器 C嵌入式HTTP服务器_初级代码游戏的博…...

编程日记 2024/3/14 22:47:05

【Redis系列】深入了解 Redis：一种高性能的内存数据库

💝💝💝欢迎来到我的博客，很高兴能够在这里和您见面！希望您在这里可以感受到一份轻松愉快的氛围，不仅可以获得有趣的内容和知识，也可以畅所欲言、分享您的想法和见解。推荐:kwan 的首页,持续学…...

编程日记 2024/3/14 22:43:01

C语言例：表达式(a=2,3),a+1的值

题目：设int a; 则表达式(a2,3),a1的值 #include<stdio.h> int main(void) {int a0;int b;int c;b (a2,4);c (a2,3),a1;printf("a1%d\n",a1); //a1 3;printf("a2,4的值为：%d\n",b); //a2,4的值为&…...

编程日记 2024/3/14 22:40:59

基于java的公寓报修管理系统设计与实现(程序+文档+数据库)

** 🍅点赞收藏关注 → 私信领取本源代码、数据库🍅 本人在Java毕业设计领域有多年的经验，陆续会更新更多优质的Java实战项目，希望你能有所收获，少走一些弯路。🍅关注我不迷路🍅** 一、研究背景…...

编程日记 2024/3/14 22:39:58

Lua 函数前的冒号和点号，你知道他们的区别吗？

1. 函数前的冒号和点号点号（.）和冒号（:）的区别主要在于是否自动处理self参数。在Lua中，函数定义时前面有点号（.）和冒号（:）的区别主要体现在函数如何处理其第一个参数…...

编程日记 2024/3/14 22:38:56

4、设计模式之建造者模式（Builder）

一、什么是建造者模式建造者模式是一种创建型设计模式，也叫生成器模式。定义：封装一个复杂对象构造过程，并允许按步骤构造。解释：就是将复杂对象的创建过程拆分成多个简单对象的创建过程，并将这些简单对象组合起来…...

编程日记 2024/3/14 22:32:50

网工内推 | 上市公司网工，IE认证优先，最高18K*13薪，包吃住

01 深圳市宝腾互联科技有限公司招聘岗位：网络工程师职责描述： 1、是整个数据中心的网络技术及安全问题的负责人，确保数据中心业务的正常进行； 2、负责规划、设计、搭建、维护数据中心的网络环境，确保IDC /云平台&a…...

编程日记 2024/3/14 22:31:49

SQL Server 技术100问？

这些问题旨在帮助SQL Server的管理员和开发人员深入理解数据库管理系统的核心概念和技术，从而更好地进行数据库设计、性能优化、安全管理等工作。 SQL Server的最新版本有哪些新特性？如何在SQL Server中创建一个新的数据库？如何在SQL Server…...

编程日记 2024/3/14 22:30:48

鸿蒙不再适合JS语言开发

ArkTS是鸿蒙生态的应用开发语言。它在保持TypeScript（简称TS）基本语法风格的基础上，对TS的动态类型特性施加更严格的约束，引入静态类型。同时，提供了声明式UI、状态管理等相应的能力，让开发者可以以更简洁、…...

编程日记 2024/3/14 22:27:45

Python环境搭建 -- Python与PyCharm安装

一、Python安装我们先找到Python的官方网站，在浏览器中搜索Python即可，然后进入Python官网点击Downloads，选择对应匹配的操作系统点进去之后，Python的版本分为稳定的版本和前置版本，前置的版本就是还没有发行的版本…...

编程日记 2024/3/14 22:20:38

OSCP靶场–Astronaut 考点(1.CVE-2021-21425getshell 2.suid php提权) 1.nmap扫描 ┌──(root㉿kali)-[~/Desktop] └─# nmap -sV -sC -p- 192.168.163.12 --min-rate 2500 Starting Nmap 7.92 ( https://nmap.org ) at 2024-03-14 01:24 EDT Nmap scan report for 192.16…...

编程日记 2024/3/14 22:19:36

Springboot 使用【过滤器】实现在请求到达 Controller 之前修改请求体参数和在结果返回之前修改响应体

文章目录前情提要解决方案自定义 HttpServletRequest 包装类 RequestWrapper自定义 HttpServletResponse 包装类 ResponseWrapper自定义过滤器 MiddlewareFilter配置过滤器注解配置类编写 Controller 测试前情提要在项目中需要使用过滤器在请求调用 Controller 方法前修改…...

编程日记 2024/3/14 22:17:35

Unity 3D常用的数据结构

目录数组使用场景 ArrayList数组ArrayList的缺点 List\<T\>数组List\<T\>有以下3点好处链表链表与数组的不同之处链表的优势数组和链表的应用场景 LinkedList\<T\>C#中内置的双向链表LinkedList使用场景队列（Queue\<T\>）和栈…...

编程日记 2024/3/14 22:14:31

h5唤起微信小程序

wx-open-launch-weapp 就用这个开放标签属于自定义标签，Vue会给予未知标签的警告，可通过配置Vue.config.ignoredElements [wx-open-launch-weapp] 来忽略Vue对开放标签的检查。 sdk授权。调试打开时iOS会弹窗 noPermissionJsApi: []，confi…...

编程日记 2024/3/14 22:13:30

面向对象（精髓）变继承关系为组和关系（_Decorator模式）

在软件开发中，设计模式是解决常见问题的可重用解决方案。在面向对象编程中，继承和组合是两种常用的代码复用方式。然而，随着软件需求的不断变化，我们需要更灵活的设计方式来应对不断变化的需求。在本文中，我们将讨论从…...

编程日记 2024/3/14 22:11:28

MES系统在智能生产中的重要作用

在未来智能制造的发展趋势中，制造执行系统（MES）作为关键技术和工具，扮演着至关重要的角色。随着科技的不断进步和制造业的数字化转型，MES的地位将愈发凸显，对于企业实现智能化生产、提高效率、降低成本具有…...

编程日记 2024/3/14 22:07:24

2024.3.13每日一题

LeetCode 最大二进制奇数题目链接：2864. 最大二进制奇数 - 力扣（LeetCode） 题目描述给你一个二进制字符串 s ，其中至少包含一个 1 。你必须按某种方式重新排列字符串中的位，使得到的二进制数字是可以由该组…...

编程日记 2024/3/14 22:02:17

YOLOv5 | 涨点复现！YOLOv5添加BiFPN有效提升目标检测精度

目录 🚀🚀🚀订阅专栏，更新及时查看不迷路🚀🚀🚀 介绍： BiFPN 代码实现 ⭐欢迎大家订阅我的专栏一起学习⭐ 🚀🚀🚀订阅专栏，更新及…...

编程日记 2024/3/14 22:01:16

【Nut3】nuxt.config.ts项目nuxt配置文件介绍

简言记录下nuxt3的nuxt.config.ts文件的介绍和使用。 Nuxt Configuration nuxt.config.ts Nuxt可以通过一个单独的nuxt.config文件进行简单配置。配置文件创建 nuxt.config文件的扩展名可以是.js、.ts或.mjs。然后默认导出全局函数defineNuxtConfig的返回值&#xff0c…...

编程日记 2024/3/14 21:59:14