发布于2022年11月4日3年前 Nacos未授权访问漏洞复现和分析 简介Nacos是一套帮助您发现、装备和管理微服务的程序。提供一组简略易用的特性集,可以快速的完结动态服务发现、服务装备、服务元数据以及流量管理。在Nacos 2.0版别存在未授权拜访缝隙,程序未有效关于用户权限进行判别,导致可以添加恣意用户、修正恣意用户暗码等等问题。建立环境经过官方github我们找到相关下载链接:https://github.com/alibaba/nacos/releases/download/2.0.0-ALPHA.1/nacos-server-2.0.0-ALPHA.1.tar.gzWindows下面运转办法:解压nacos-server-2.0.0-ALPHA.1.tar.gz拜访cd nacos-server-2.0.0-ALPHA.1\nacos\bin运转.\startup.cmd -m standaloneLinux 下面运转办法:解压tar -zxvf nacos-server-2.0.0-ALPHA.1.tar.gz拜访cd nacos-server-2.0.0-ALPHA.1\nacos\bin运转./startup.sh -m standalone笔者在Windows下面测试运转后如下:可以看到Console为拜访地址http://192.168.189.1:8848/nacos/index.html#/login。到这步表示环境建立成功。缝隙复现经过默认用户名和暗码nacos/nacos登录体系。挑选权限控制->用户列表->人物列表->创建用户。我们在添加用户时候进行抓包,将数据包之中accessToken值和特点进行删除。经过发包器进行发送,得到成功的呼应提示。在改写界面之后,成功添加test2用户,用户暗码为test2。同理在用户暗码重置功用,可以前台重置恣意用户暗码。其他功用也会存在相同类型问题。缝隙分析这个问题是权限控制模块还没开发完结。在这里已经提到相关问题https://github.com/alibaba/nacos/issues/1105。修正主张在权限控制开发完结之前最好不要对非信任网络开放渠道。开发完结之后抓住更新修正该问题。
创建帐户或登录后发表意见