Apache NiFi Jetty服务Sever信息泄露漏洞解决

最新推荐文章于 2025-09-05 14:51:42 发布
原创 最新推荐文章于 2025-09-05 14:51:42 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#NiFi #Jetty #Sever #版本泄露 #安全

本文介绍如何通过修改Apache NiFi的配置文件来隐藏其Jetty服务器版本信息,防止敏感信息泄露,提高系统安全性。
部署运行你感兴趣的模型镜像

Apache NiFi  Jetty服务Sever信息泄露,主要是404页面返回Jetty版本信息,以及Response头中返回Sever版本信息。

解决办法研究很久之后,发现其实很简单:

找到conf/nifi.properties配置文件,找到这部分,

nifi.web.https.network.interface.default=
nifi.web.jetty.working.directory=./work/jetty
nifi.web.jetty.threads=200
nifi.web.max.header.size=16 KB
nifi.web.proxy.context.path=
nifi.web.proxy.host=
nifi.web.max.content.size=
nifi.web.max.requests.per.second=30000
nifi.web.request.timeout=60 secs
nifi.web.request.ip.whitelist=
nifi.web.should.send.server.version=true

修改

nifi.web.should.send.server.version=true

改为:

nifi.web.should.send.server.version=false

重启服务。然后再看response头,已经没有Server版本信息:

 再看看其它404等页面返回信息,同样没有了Sever的版本信息:

 

 

大功告成!

您可能感兴趣的与本文相关的镜像

ACE-Step

ACE-Step

音乐合成
ACE-Step

ACE-Step是由中国团队阶跃星辰(StepFun)与ACE Studio联手打造的开源音乐生成模型。 它拥有3.5B参数量,支持快速高质量生成、强可控性和易于拓展的特点。 最厉害的是,它可以生成多种语言的歌曲,包括但不限于中文、英文、日文等19种语言

Apache Nifi 信息泄露漏洞复现(CVE-2024-56512)(附脚本)
iSee857的博客
01-15 1225
在广泛使用的数据处理和分发系统 Apache NiFi 中存在未授权访问漏洞,可能允许攻击者未经授权访问系统中的敏感信息,造成数据信息泄露
Apache NiFi存在信息泄露漏洞(CVE-2024-56512)
缘梦未来的博客
01-14 756
Apache NiFi 是一个强大的、易于使用的数据集成平台,旨在自动化和管理数据流,尤其是在大数据环境中。它是 Apache 软件基金会下的一个开源项目,广泛应用于数据流的构建、管理和调度。NiFi 提供了强大的数据流设计、调度、监控和管理功能,适用于处理各种数据源、存储和目的地。
Jetty 不明确路径信息泄露漏洞 (CVE-2021-28164)
m0_52663093的博客
06-14 4715
Jetty 不明确路径信息泄露漏洞 (CVE-2021-28164)
Jetty Ambiguous Paths 信息泄露漏洞(CVE-2021-28164/CVE-2021-34429)
qq_62056583的博客
07-07 2897
Jetty9.4.37版本中,为了符合。称为点段,这是为了路径名层次结构中的相对引用定义的,它们在一些操作系统文件目录中分别代表当前目录和父目录,但是在Jetty中这些点段仅在URL路径中解释层次结构,在解析过程中通过解析去除一部分,所以我们在解析URL路径的时候首先需要处理.和..。针对在前端解析url编码的问题所在,我们可以选择在安全校验中可以选择将二次规范化的步骤提前至第四步来,又或者说进行多步规范化处理,虽然会耗费更多的资源但是用来根本上解决一个标准解析的问题出现也是可以接受的。
《数据同步-NIFI系列》Nifi详细教程入门-02部署与入门
https://blog.datasource.space
09-15 3329
第四个是process group,相当于系统中的文件夹,可以在组中嵌套组,合理的规划,可以使得整体页面简洁、可读性高。在操作区选择上传模板,通过搜索本地模板的xml文件,UPLOAD即可,后续就跟正常的使用模板一样的操作。第七个是template,通过创建模板,可以在这里使用历史创建的模板,便捷的处理相同场景的问题。: 模板创建好后,通过拖动导航栏的template,可以选择历史创建的模板,ADD即可。稍后会做专门的介绍。2.下载需要的模板到本地,下载为xml文件,也可以将xml文件提供给他人使用
【高危】Apache NiFi 远程资源检索功能存在命令注入漏洞
murphysec的博客
08-04 425
Apache NiFi 1.23.0之前版本中包含使用 HTTP URL 进行远程资源检索的 Processors 和 Controller Services,但是未限制普通身份用户配置此功能。经过身份验证的攻击者可配置恶意的外部资源引用地址,当组件加载攻击者可控的恶意配置文件或附加库时触发远程代码执行。OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用
ETL解决方案大PK:Apache NiFi、DataX、Kettle哪个更适合你?
04-16
### ETL解决方案大PK:Apache NiFi、DataX、Kettle哪个更适合你? #### 引言 随着大数据时代的到来,企业对于数据的处理需求日益增加。为了更好地管理和利用这些数据,ETL(Extract-Transform-Load)作为一种常用...
apache nifi使用指南
01-12
- **协调服务**:NiFi 集群使用 Apache ZooKeeper 提供协调服务,包括选择集群协调器和处理故障转移。 - **节点通信**:所有集群节点向集群协调器报告心跳和状态信息。 - **UI 访问**:用户可以通过任何节点的用户...
Apache Nifi 概念介绍、源码解析、开发指南(中文)
03-06
Apache NiFi 概念介绍、源码解析、开发指南(中文) Apache NiFi 是一个开源的数据集成工具,由 Apache 软件基金会维护。NiFi 的核心设计理念是 Flow-Based Programming,它可以将数据从各种 sources 中提取,转换...
GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题
diaya的专栏
02-06 3784
下载 Geoserver2.32.4,先装了JDK17,再装了GeoServer2.23.4。网址访问一切正常,建了工作空间,在存储仓库里选 shapefile新建时,点“浏览”,竟无法弹出选文件的窗口,查看调用显示下错。接到安全评估报告,发现上面一堆关于Jetty安全问题,后得知,是GeoServer2.11.1中用的jetty版本太低导致。Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7658)2、先卸载原有的geoserver2.11.1,再卸载其配套的jre 8。
vulfocus 靶场 jetty 敏感信息泄露 (CVE-2021-28169)
没有故事
04-23 1220
对于 <= 9.4.40、<= 10.0.2、<= 11.0.2 的 Eclipse Jetty 版本,对带有双重编码路径的 ConcatServlet 的请求可以访问 WEB-INF 目录中的受保护资源。例如,对 `/concat?/%2557EB-INF/web.xml` 的请求可以检索 web.xml 文件。这可能会泄露有关 Web 应用程序实施的敏感信息。对W进行编码为 %2557,访问:static?
Eclipse Jetty安全漏洞
最新发布
weixin_61594803的博客
09-05 1097
Jetty是一款轻量级Java Web服务器和Servlet容器,支持HTTP请求处理、Servlet/JSP标准和WebSocket,具有高并发、模块化和可嵌入特性(如Spring Boot内置)。解决安全漏洞的关键步骤包括:订阅官方安全公告、使用扫描工具检测漏洞、评估CVSS风险评分,优先升级到修复版本(如9.4.53修复CVE-2024-22201),或通过WAF/反向代理临时防护。建议建立自动化依赖检查和定期更新机制,确保系统安全闭环管理。
Jetty 安全漏洞分析
热门推荐
xyp632的博客
05-22 2万+
Jetty 安全漏洞分析1. 安全问题分析2. 升级验证3. Jetty版本不准确问题分析4. Jetty版本不能准确的临时解决方案5. 应用例子案例 1:metabase案例 2:jenkins 记录日期:2021/5/21 1. 安全问题分析 在做服务安全扫描时,有时会报出 jetty漏洞。 查看漏洞详情可知,低版本jetty 包含漏洞,升级 jetty 到新版本就可以修复这些漏洞漏洞 官方问题连接 修复版本 Eclipse Jetty HTTP请求走私漏洞(CVE-
apache nifi_apache nifi流指纹安全漏洞
weixin_26636643的博客
09-27 708
apache nifiIn this post, I will discuss a security vulnerability discovered in Apache NiFi flow fingerprints containing sensitive property descriptor values appearing in logs (CVE-2020–1942). During a...
解决Apache Tomcat版本泄露Apache-Coyote/1.1自定义
顺其自然~专栏
09-13 5893
同时,为了能让我们编写的 servlet 能够得到ServletRequest,tomcat 使用了 facade 模式,将比较底层、低级的 Request 包装成为 ServletRequest(这一过程通常发生在Wrapper容器一级),这也是为很多人津津乐道的 tomcat 对设计模式的一个巧妙的运用,具体过程将会在以后讨论。coyote本质上是为tomcat的容器提供了对底层socket连接数据的封装,以Request类的形式,让容器能够访问到底层的数据。coyote 是 tomcat 的。
CVE-2021-28164Jetty 不明确路径信息泄露漏洞
2301_77565393的博客
06-27 650
payload1:/%u002e/WEB-INF/web.xml 利用这个payload 用于绕过限制。执行以下命令以启动 Jetty 9.4.37 服务器。服务器启动后,请访问以查看示例页面。
CVE-2023-34468漏洞复现(Apache NiFi远程代码执行)
2302_77759960的博客
07-22 1451
简要介绍了CVE-2023-34468的漏洞利用过程
【高危】Apache NiFi H2驱动存在代码注入漏洞
murphysec的博客
06-19 482
Apache NiFi 是一个开源的数据流处理和自动化工具,DBCPConnectionPool 和 HikariCPConnectionPool 是两个控制器服务,用于提供对数据库的连接池管理功能。Apache NiFi 受影响版本,由于 DBCPConnectionPool 和 HikariCPConnectionPool 控制器服务未对用户配置的 H2 驱动程序的 URL 字符串进行验证,经过身份验证的攻击者可构造包含恶意负载的 H2 JDBC URL,在目标服务器上执行恶意代码。
web服务器/中间件漏洞系列6:jetty漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-02 2万+
JETTY简介: Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 一、CVE-2021-28164 [34429] 敏感信息泄露 1、漏洞简介: 在Jetty9.4.37版本中,为了符合RFC3986中的规范,选择性地支持可能有歧义解释的URI,默认模式允许URL编码,简单看下RFC3986(替代RFC2396)的规定 其大致意思是:.和.
Apache NiFi自定义处理器:图像提取与保存解决方案
nifi-imageextractor-processor作为Apache NiFi的一个自定义处理器,针对图像提取任务提供了专门的解决方案。开发这样的处理器需要对NiFi的开发模型有深入的理解,并熟练运用Java及相关的技术栈。随着数据量和数据...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值