Dubbo 未授权访问

最新推荐文章于 2025-03-11 16:47:49 发布
最新推荐文章于 2025-03-11 16:47:49 发布
阅读量5.2k 收藏 1
点赞数
分类专栏: 渗透测试自学日志之漏洞复现篇 文章标签: rpc zookeeper java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/maverickpig/article/details/122724660
版权

漏洞简介

Dubbo是阿里巴巴公司开源的一个高性能优秀的 服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring框架无缝集成。dubbo 因配置不当导致未授权访问漏洞。

漏洞检测

连接进入dubbo 服务,进行操作
bash

telent IP port
nc IP PORT

在这里插入图片描述

漏洞修复

配置dubbo认证;
设置防火墙策略,限定IP访问;

二十八种未授权访问漏洞合集(暂时最全)
墨痕诉清风的博客
01-04 5312
目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 0x06 Dubbo 未授权访问 0x07 Druid 未授权访问 0x08 Elasticsearch 未授权访问 0x09 FTP 未授权访问 0x10 HadoopYARN 未授权访问 0x11 JBoss 未授权访问 0x12 Jenkins 未授权访问 0x13 Jupyt
web渗透测试漏洞复现:未授权访问漏洞合集
HACKONE的博客
03-19 503
Jupyter Notebook 未授权访问。Elasticsearch 未授权访问。Active MQ 未授权访问。Memcached 未授权访问ZooKeeper 未授权访问。RabbitMQ 未授权访问。Weblogic 未授权访问。CouchDB 未授权访问。Jenkins 未授权访问。MongoDB 未授权访问。Docker 未授权访问。Hadoop 未授权访问。Kibana 未授权访问。Zabbix 未授权访问Dubbo 未授权访问。Druid 未授权访问。JBoss 未授权访问
生产dubbo漏洞问题修复
weixin_44939862的博客
02-01 1933
dubbo漏洞修复
Aapche Dubbo Java反序列化漏洞复现
Shanfenglan's blog
12-13 1750
文章目录1. CVE-2019-17564原理利用 1. CVE-2019-17564 原理 Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。Dubbo可以使用不同协议通信,当使用http协议时,Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用,而这个过程会读取POST请求的Body并进行反序列化,最终导致漏洞。 影响版本:Apac
常用的30+种未授权访问漏洞汇总,从零基础到精通,收藏这篇就够了!
最新发布
Javachichi的博客
03-11 1328
未授权访问漏洞是一个在企业内部非常常见的问题,未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。演示环境搭建使用vulhub搭建漏洞演示环境参考:https://vulhub.org/#/docs/install-docker/
未授权访问漏洞
snowy_y的博客
06-23 1071
未授权访问
Dubbo未授权访问漏洞
starhei.zxy的博客
08-05 1962
Dubbo是阿里巴巴公司开源的一个高性能优秀的 服务框架,使得应用可通过高性能的 RPC 实现服务的输 出和输入功能,可以和 Spring框架无缝集成。dubbo 因配置不当导致未授权访问漏洞。步骤一:使用以下语句在Fofa上进行资产收集....步骤二:使用Telnet程序直接进行链接测试....》》》防御手段《《《
Dubbo,Zookeeper,NSF,Druid,CouchDB未授权访问漏洞(附带修复方法)
C233333235的博客
08-11 1728
Dubbo是阿⾥巴巴公司开源的⼀个⾼性能优秀的 服务框架,使得应⽤可通过⾼性能的 RPC实现服务的输 出和输⼊功能,可以和 Spring框架⽆缝集成。dubbo 因配置不当导致未授权访问漏洞。
访问dubbo没有权限,通过ip进行跳转服务器,并通过有权限服务器代理访问
04-28 341
#启动ip跳转 echo 1 > /proc/sys/net/ipv4/ip_forward vi /etc/sysctl.conf net.ipv4.ip_forward =1 sysctl -p /etc/sysctl.conf #centos 7 安装iptables yum install iptables-services service iptabl...
Spring Boot 未授权访问漏洞利用
bmaoHk的博客
10-04 3232
Spring Boot是由Pivotal团队提供的一套开源框架,可以简化spring应用的创建及部署。它提供了丰富的Spring模块化支持,可以帮助开发者更轻松快捷地构建出企业级应用。Spring Boot通过自动配置功能,降低了复杂性,同时支持基于JVM的多种开源框架,可以缩短开发时间,使开发更加简单和高效,在应用系统中占比较大。因此当某些端点存在配置不当的时候,就有可能导致一些系统信息泄露、 RCE 等安全问题。● Spring Boot 1.x版本端点在根URL下注册。
ZooKeeper通过ACL修复未授权访问漏洞
05-06
节点权限的设置是为了防止未授权访问带来的安全风险,确保只有被授权的用户或系统才能对ZooKeeper的节点进行操作。 ZooKeeper的身份认证有四种方式:world、auth、digest和ip。 1. world:这是一种特殊的认证方式...
未授权访问漏洞总结
LuckySec
03-24 5754
前言:这篇文章主要收集一些常见的未授权访问漏洞。未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 0x01 未授权漏洞预览 Active MQ 未授权访问 Atlassian Crowd 未授权访问 CouchDB 未授权访问 Docker 未授权访问 Dubbo 未授权访问 Druid 未授权访问 Elasticsearch 未授权访问 FTP 未授权访问 Hadoop 未授权访问 JBoss 未授权访
未授权访问漏洞1
MingShenfree的博客
10-30 926
未授权访问漏洞产生的原因 未授权访问漏洞是站由于网站管理员对站点的资源所拥有的权限或站点配置文件没有进行合理的配置,导致没有进行授权的用户可以访问到高级资源。 常见的未授权访问漏洞 (1)Redis未授权访问: 漏洞简述:Redis是一种缓存数据库应用,它在部分场合可以对关系型数据库起到很好的补充作用。Redis默认会绑定在0.0.0.0:6379,这就会将Redis服务暴露到公网环境当中,在没有开启认证的情况下会导致任意可以访问到...
系统渗透漏洞の未授权访问
蜗牛驿站
06-27 1527
背景:    我们做的页面是嵌套在营销系统中,所以没有登录界面,造成了直接访问 ip:port/地址可以进入,这样造成了安全隐患思路;    想到了加上过滤器,在用户登录成功之后,才授权登录访问页面(当用户登录成功后,将用户信息存在session中,过滤器判断当session中有用户信息才可放行)添加过程:    1.首先在web.xml中添加过滤器配置其中url-pattern 为限制的范围,根...
生命在于学习——未授权访问漏洞
热门推荐
易水哲的博客
09-01 1万+
未授权访问漏洞的学习。
dubbo-admin无法访问
weixin_30252709的博客
08-10 279
jdk8->jdk7就好了 转载于:https://www.cnblogs.com/yintingting/p/7338841.html
Dubbo接口授权
weixin_34380948的博客
08-15 2297
Dubbo是阿里巴巴开源的一个分布式服务框架,在我们贝聊内部,广泛地使用了这个框架。使用Dubbo可以很方便地进行远程服务调用,在同一个注册中心,业务系统可以随意调用其他服务。但是有时候我们希望某些接口只有符合条件的用户才能调用,其他人不能随意调用。Dubbo本身没有接口的授权机制,我们决定为Dubbo加上这个机制。大致是这样:授权应该满足不同的粒度:所有接口部分接口某个接口同时,如果授权服务不可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值