nacos 未授权访问漏洞
检测方法
1、下载解压安装并启动nacos 我用的是1.4.3
2、下载检测漏洞工具
Alibaba-Nacos-Unauthorized.jar
地址 https://gitee.com/kiang70/PocList/blob/main/Alibaba-Nacos-Unauthorized.jar
检测方法
这样是不存在漏洞的提示
3需要修改的配置
首先使用最新版本的nacos
修改application.properties
(1)nacos.core.auth.enabled=false 改为true
(2)nacos.core.auth.enable.userAgentAuthWhite=true 改为false
(3)nacos.core.auth.server.identity.key= 加上自定义的值
nacos.core.auth.server.identity.value= 加上自定义的值
一、都不改的情况下
检测提示存在漏洞
且 通过命令
curl -XPOST -d 'username=test&password=test' 'http://127.0.0.1:8848/nacos/v1/auth/users' 可以新增用户
curl -XPUT -d 'username=test&newPassword=test' 'http://127.0.0.1:8848/nacos/v1/auth/users' 可以修改用户密码
curl -XDELETE -d 'username=test' 'http://127.0.0.1:8848/nacos/v1/auth/users' 可以删除用户
linux 是用单引号
window用双引号,否则会提示curl: no URL specified
二、只改(1)
检测提示存在漏洞
通过curl 命令 不能编辑
(1)(2)(3)同时修改解决这俩个问题,没有试过(1)(2)(3)各种组合情况,有兴趣的同学可以试一下
最后改过以后代码yml的nacos配置需要补充username和password即nacos的登录账号密码,这样才能保证服务可以注册到nacos上