随笔分类 - 漏扫
摘要:### Spring Boot Actuator 未授权访问漏洞 #### 详细描述 > Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。 ##
阅读全文
摘要:### Nginx 平滑升级 > nginx/1.20.1 >1.22.1 #### 1、查看原编译参数 ```shell nginx -V nginx version: nginx/1.20.1 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC
阅读全文
摘要:### Swagger API 未授权访问漏洞 #### 详细描述 > Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。相关的方法,参数和模型紧密集成到服务器端的代码,允许API来始
阅读全文
摘要:### NGINX版本信息泄露 #### 详细描述 在请求的响应信息中显示`Nginx`版本信息 #### 影响 > 攻击者可能使用泄露的版本信息来确定该版本服务器有哪些安全漏洞,据此展开进一步的攻击。 #### 解决办法 Nginx 配置文件里增加 server_tokens off; 官方语法说
阅读全文
摘要:### nginx 安全漏洞(CVE-2021-23017) #### 详细描述 > Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。 > nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可利用该漏洞在目标系统上执
阅读全文
