2023年6月26日
关于Nacos身份认证绕过漏洞默认密钥和JWT的研究
摘要: 前言 由于本人的一个习惯,每次遇到漏洞并复现后都要编写poc,以便下一次的直接利用与复测使用。研究Nacos默认密钥和JWT的爱恨情仇的过程中遇到了莫名其妙的问题,在此做以记录,方便日后有大佬遇到相同的问题路过看到能够得以解决。 JSON Web Token(JWT)是一种开放标准(RFC 7519 阅读全文
posted @ 2023-06-26 13:44 spmonkey 阅读(1950) 评论(2) 推荐(1) 编辑
记一次Nacos漏洞的复现 --> 身份认证绕过漏洞(QVD-2023-6271)
摘要: 前记 端午前两天,遇到公司某客户的站点是Nacos,随后就是网上搜一波漏洞,搜到 QVD-2023-6271,故做以下记录 漏洞复现 漏洞描述 漏洞原理为开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台造成系统受控等后果 阅读全文
posted @ 2023-06-26 09:10 spmonkey 阅读(8349) 评论(0) 推荐(1) 编辑