RabbitMQ Cleartext认证漏洞解决方法(开启SSL附原生MQ连接测试代码)

原创 已于 2024-07-19 09:57:39 修改 · 812 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#rabbitmq

于 2024-06-30 22:12:06 首次发布

公司使用的消息中间件RabbitMQ经过安全扫描后发现存在Cleartext漏洞,该漏洞允许用户提供用户名和密码等敏感信息以明文形式传输。网上查了下解决方法,大多数方案都是修改RabbitMQ的配置,使用SSL方式连接MQ,但是这些修复方案都是结合SpringBoot测试验证的,而公司项目由于历史原因无法使用Springboot,因此需要用其他方法连接MQ客户端测试验证。

前置步骤

修复该漏洞需要RabbitMQ开启SSL,证书生成及MQ参数配置参考博客:https://www.cnblogs.com/ybyn/p/13959135.html

测试代码
import com.rabbitmq.client.Connection;
import com.rabbitmq.client.ConnectionFactory;
import com.rabbitmq.client.DefaultSaslConfig;
import com.rabbitmq.client.Channel;
import com.rabbitmq.client.MessageProperties;

import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManagerFactory;<
最低0.47元/天 解锁文章
Java安全编程:RabbitMQSSL_TLS加密配置
AI开发架构师
06-24 1119
在金融、医疗、政务等对数据安全要求极高的领域,消息队列(如RabbitMQ)传输的用户隐私、交易数据一旦被截获,后果不堪设想。本文聚焦「Java环境下RabbitMQSSL/TLS加密配置」,覆盖从证书生成、服务器配置到Java客户端代码实现的全流程,解决「如何让RabbitMQ消息从明文裸奔变加密传输」的核心问题。本文先通过「快递寄秘密信件」的故事理解SSL/TLS加密原理,再拆解RabbitMQSSL配置核心概念(证书、密钥库、信任库),接着用Java代码演示客户端配置,最后通过实战验证加密效果。
最新敏感信息泄露总结_rabbitmq漏洞(1),插件化框架解读之网络安全系统服务实现原理
2401_84300255的博客
05-09 1593
(1)redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网;(2)没有设置密码认证(一般为空),可以免密码远程登录redis服务。
Hadoop,ActiveMQRabbitMQ,Springboot Actuator未授权访问漏洞带修复方法
C233333235的博客
08-09 3500
Hadoop是⼀个由Apache基⾦会所开发的分布式系统基础架构,由于服务器直接在开放了Hadoop 机器 HDFS 的 50070 web 端⼝及部分默认服务端⼝,⿊客可以通过命令⾏操作多个⽬录下的数据,如进⾏删除,下载,⽬录浏览甚⾄命令执⾏等操作,产⽣极⼤的危害。在 Actuator 启⽤的情况下,如果没有做好相关权限控制,⾮法⽤户可通过访问默认的执⾏器端点(endpoints)来获取应⽤系统中的监控信息,从⽽导致信息泄露甚⾄服务器被接管的事件发⽣。默认情况下,ActiveMQ服务是没有配置安全参数。
RabbitMQ安全审计:漏洞扫描和安全加固
最新发布
gitblog_00131的博客
09-25 722
在当今数字化时代,消息队列系统作为关键基础设施,其安全性直接关系到整个系统的稳定运行。RabbitMQ作为一款广泛使用的开源消息代理,面临着各种潜在的安全威胁。本文将从漏洞扫描和安全加固两个方面,为你提供一套全面的RabbitMQ安全审计方案,帮助你有效防范安全风险。 ## 安全审计概述 RabbitMQ是一个功能丰富的多协议消息和流代理,支持多种协议,如AMQP 1.0、AMQP 0-9-1...
登录rabbitMQ管理界面时浏览器显示要求进行身份验证,与此站点连接不安全解决办法
m0_61399406的博客
08-28 7899
导致这个问题的原因是我在docker上面部署rabbitMQ的时候没有设置管理员账号。导致rabbitMQ中只有自己的默认账号。没有我登录的那个 itcast 账号,所以会有这个问题。等等乱七八糟的设置,结果发现问题还是存在。于是在其他的搜索下知道了错误的原因所在。3.使用创建的用户进行登录后就不会显示以上问题,成功进入rabbitMQ管理界面。当时以为自己需要输入自己的浏览器登录的账号进行验证,但是密码和账号输入后却显示。1.先进入自己部署的 rabbitMQ 容器中,查看所有的用户信息。
关于rabbitmq安全漏洞的问题
热门推荐
程序员涂小哥的技术博客
02-17 1万+
在我们的很多个项目中都用到了消息中间件,虽然现在有些已经改用了kafka,但是还有相当一部分依然用的是rabbitmq。 而最近呢,我们收到了一份关于安全漏洞扫描的文档,说我们的rabbitmq存在着一些安全漏洞问题,既然是有问题,自然是需要整改的,但是看完文档以后,发现这种安全漏洞问题似乎并不是很好解决。 文档中指出的问题主要有这样三个: 一、更改密码没有验证旧密码 说的具体点
敏感信息泄露总结
goddemon
03-15 1万+
一.源代码泄露 二.服务器导致的泄露 Apache类泄露 样例文件泄露 /examples/servlets/servlet/CookieExample /examples/servlets/servlet/RequestHeadersExample /examples/jsp/snp/snoop.jsp /examples/async/async1 cookie泄露 IIS泄露 典型iis短文件名 https://github.com/lijiejie/IIS_shortname_Scanner To
rabbitmq 测试工具
02-16
标签中的“rabbit mq”和“rabbitmq 测试工具”重申了这个工具与RabbitMQ的关联,强调其专业性和针对性。 压缩包内的文件名称列表揭示了这个工具的一些关键组件: 1. RabbitMQTool.exe.config:这是应用程序的配置...
rabbitmq ssl/tls及pika tls认证连接方法
comprel的博客
07-04 4038
rabbitmq开启ssl: # Enable AMQPS listeners.ssl.default = 5671 ssl_options.cacertfile = PIKA_DIR/testdata/certs/ca_certificate.pem ssl_options.certfile = PIKA_DIR/testdata/certs/server_certificate.pem ssl...
PHP使用RabbitMQ(正常连接开启SSL验证后的连接
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
12-04 805
代码中包含了PHP在一般情况下使用方法RabbitMQ开启SSL验证后的使用方法
RabbitMQ 未授权访问漏洞
weixin_53736204的博客
08-05 3457
RabbitMQ是目前非常热门的一款消息中间件,基于AMQP协议的,可以在发布者和使用者之间交换异步消息。消息可以是人类可读的JSON,简单字符串或可以转换为JSON字符串的值列表。步骤一:使用以下Fofa语法对RabbitMQ产品进行搜索。步骤二:在打开的页面中可输入默认的账号和密码进行登陆。
漏洞修复】docker 环境下,AMQP Cleartext认证漏洞rabbitmq明文漏洞修复,超详细
yyysilence的博客
07-04 3749
sh create_client_cert.sh rabbitmq-client 654321 #654321为自定义密码。# -alias后为别称,-file后是服务端公钥位置,-keystore后是输出JSK证书位置 STORE_PASS任意。sh make_server_cert.sh rabbitmq-server 123456 #123456为自定义密码。部署完成后,docker exec进入容器,在容器中添加插件才能启用SSL验证的功能。3. server.key.pem # 服务器私钥。
rabbitmq 漏洞_不要让RabbitMQ漏洞暴露您的CI管道
服务器编程交流平台
07-08 1万+
RabbitMQ是一个开源消息代理,可以在发布者和使用者之间交换异步消息。 消息可以是人类可读的JSON,简单字符串或可以转换为JSON字符串的值列表。 2019年3月, Jenkins安全通报报告在中发现了多个漏洞。 如果您的持续集成管道依赖RabbitMQ,则需要确保您的环境针对1.1.9版本的任何漏洞进行了加固。 插件配置 在将插件连接到代理之前,Jenkins用户需要提供以...
2024年敏感信息泄露总结_rabbitmq漏洞(2),最新大厂网络安全校招面试经验汇总
2401_84264692的博客
05-11 1824
概念:是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。概念:是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。默认端口是5601。
RabbitMQ开启TLS支持,解决AMQP明文身份验证漏洞
创意程序员的博客
02-26 3656
随着网络通信安全性的日益重要,我们不难发现,在企业级应用中,数据传输的安全防护措施已经成为不可或缺的一环。近期,不少使用RabbitMQ的开发团队收到了关于“远程主机允许明文身份验证”的漏洞警告。为确保敏感信息的安全传递,启用TLS(Transport Layer Security)支持成为了关键的解决方案。本文将详细介绍如何在RabbitMQ中启用TLS加密,以及在SpringBoot应用中配置TLS并设置EXTERNAL认证,通过实际操作步骤解决明文身份验证漏洞
记录RabbitMQ使用的一个bug
qq_44128460的博客
06-13 3166
记录RabbitMQ使用过程的bug,出现bug条件:一是使用默认的vhost名字 / ,二是采用nginx作为管理端的代理转发
RabbitMQ未授权访问漏洞
qq_68186313的博客
08-05 563
RabbitMQ是目前非常热门的一款消息中间件,基于AMQP协议的,可以在发布者和使用者之间交换异步消息。消息可以是人类可读的JSON,简单字符串或可以转换为JSON字符串的值列表。2、在打开的页面中可输入默认的账号和密码进行登陆(默认账号密码都是guest)1、使用以下Fofa语法对RabbitMQ产品进行搜索。RabbitMQ未授权访问漏洞
RabbitMQ未授权访问漏洞 Springboot Actuator未授权访问漏洞 FTP未授权访问漏洞
weixin_71053667的博客
08-05 1286
RabbitMQ是目前非常热门的一款消息中间件,基于AMQP协议的,可以在发布者和使用者之间交换异步消息。消息可以是人类可读的JSON,简单字符串或可以转换为JSON字符串的值列表步骤一:使用以下Fofa语法对RabbitMQ产品进行搜索步骤二:在打开的页面中可输入默认的账号和密码进行登陆。
RabbitMQ的bug解决
w_rcss的博客
01-04 1975
兄弟有个RabbitMQ的bug需要我帮忙: 启动报错如下: Error:unable to connect to node rabbit@localhost: nodedown 提示很到位:本机没有节点,建议开启一个节点 因为是启动报错,所以直接kill重启 # 查询rabbitmq的进程 ps -ef | grep rabbitmq # kill -9 杀死pid kill -9 pid #重启rabbitmq服务 rabbitmq-server # ps -ef |grep rabbit
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值