cfggbfxdgbb的博客

java web token(jwt)是java web中一种用于验证用户唯一标识的技术，通常会在用户首次登录后自动生成并储存在服务器中用于日后的再登录验证。登录成功，可以发现，即使伪造过去了，却依旧没有nacos账户该有的管理员权限，没有权限控制功能就是证明。，经代码审计发现可以通过特定算法(代码内会有标明是什么算法)，加上用户名时间戳payload进行token伪造，从而绕过身份验证。点击下方的生成，即可获得伪造的其他用户的token。返回登录框，抓包进行登录，选择拦截该请求的响应。

Nacos嵌入式数据库Derby存在SQL注入漏洞，影响版本≤1.4.1。漏洞位于/nacos/v1/cs/ops/derby接口，因缺少鉴权且仅校验SQL语句是否以"select"开头，导致攻击者可查询约20个默认表数据。虽然受限于代码仅允许SELECT操作及1000行结果限制，但仍可泄露敏感信息。漏洞通过代码审计发现，提示开发者需加强接口鉴权和输入过滤。

摘要：Nacos<=2.0.0-ALPHA.1版本存在未授权漏洞，攻击者通过修改User-Agent为"Nacos-Server"可绕过认证。漏洞允许未授权查看用户列表（含BCrypt加密密码）和添加任意用户，成因在于AuthFilter.java中未严格校验User-Agent，匹配"Nacos-Server"即放行请求。该问题实为开发者预留的后门逻辑，在2.0.0正式版后修复。