nacos-actuator漏洞

最新推荐文章于 2025-04-15 16:49:02 发布

神奇的海马体

最新推荐文章于 2025-04-15 16:49:02 发布

阅读量484

点赞数 3

分类专栏：安全/漏洞相关文章标签： nacos

海马体

本文链接：https://blog.youkuaiyun.com/weixin_45310323/article/details/146462879

版权

安全/漏洞相关专栏收录该内容

7 篇文章

订阅专栏

1、nacos配置文件添加以下配置

vim application.properties

# 添加以下配置项
management.endpoints.enabled-by-default=false
management.server.port=-1

在这里插入图片描述
2、重启Nacos

systemctl restart nacos

3、验证
打开地址http://ip:port/nacos/actuator查看是否有敏感信息输出，显示如图所示则验证成功

在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

神奇的海马体

关注关注

3
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

服务端点检查actuator/nacos-discovery

yuzhang.online的博客

02-02

1846

问题：http://127.0.0.1:9091/actuator/nacos-discovery无法查看检查信息解决思路： 1.查看maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-actuator</artifactId> </depende

从0认识+识别+掌握nacos全漏洞(攻防常见洞)带指纹表和利用工具

milu_Sec的博客

12-31

4818

还是按照之前的文章结构。

参与评论您还未登录，请先登录后发表或查看评论

阿里巴巴开源Nacos漏洞大揭秘：从隐患排查到完美修复

最新发布

小相探索IT世界

04-15

1415

Nacos 作为云原生应用中不可或缺的服务发现与配置管理平台，其安全问题不容忽视。我们详细剖析了 Nacos 常见的未授权访问漏洞、伪造 token 漏洞、Hessian 反序列化漏洞以及 Derby 数据库远程代码执行漏洞，这些漏洞一旦被利用，会给企业带来数据泄露、业务中断和声誉受损等严重后果。针对这些漏洞，我们也提出了一系列全面的解决方案，包括及时升级到最新版本，获取官方修复补丁；对配置文件进行加固，开启鉴权、关闭 userAgentAuthWhite 以及修改 token.secret.key；

springboot之监控管理

孤独冰刃的博客

12-25

204

当我们决定用spring boot作为微服务框架时，除了它强大的快速开发功能之外，还因为它在starter POM中提供了一个特殊依赖模块spring-boot-starter-actuator。引入该模块能够自动为spring boot构建的应用提供一系列监控的端点。初识actuator 在现有的Spring boot应用中引入该模块非常简单，只需在pom依赖中加入spring-boot-starter-actuator的依赖即可，具体如下：引入依赖 <dependency>

Nacos出现重大安全漏洞,开源项目险遭脱库

qq_17831715的博客

01-17

2303

前言大家好，我是陌溪昨天陌溪在蘑菇博客交流群和群里的小伙伴进行了一场比较激烈的讨论，主要是关于Nacos中一个绕过安全认证直接获取微服务项目的配置文件的安全漏洞。截止到昨天为止，该issue已经有50条评论。下面是该issue的地址，感兴趣的小伙伴可以跳转进行查看。 https://github.com/alibaba/nacos/issues/4593 漏洞起源可能有些小伙伴还不太清楚Nacos是啥，它是SpringCloudAlibaba微服务架构...

nacos漏洞复现

Scorpio_m7

02-09

1万+

????写在前面 ????博客主页：Scorpio_m7，github ????欢迎关注????点赞????收藏⭐️留言???? ????本文由 Scorpio_m7原创，优快云首发！ ????首发时间：????2022年2月9日???? ✉️坚持和努力一定能换来诗与远方！ ????作者水平很有限，如果发现错误，请留言轰炸哦！万分感谢感谢感谢！文章目录????写在前面概述环境搭建Linuxwindows漏洞复现信息泄露任意用户创建使用Spring Boot获得账号及密码关键信息后台未授权登录概述

Nacos 惊爆安全漏洞，可绕过身份验证（附修复建议）

程序猿DD

01-16

2009

作者 |threedr3am来源 |https://github.com/alibaba/nacos/issues/4701我发现nacos最新版本1.4.1对于User-Agent...

我遇到的Nacos漏洞，复现合集

qq_52849046的博客

08-10

1770

这篇博客是为小编自己学习记录的同时，分享出来让大神们共同检阅，如有问题，还请各位大神在评论区多多指点。ps:此文章仅供学习，切勿用于实战。容易被gangan

spring 微服务nacos未授权访问漏洞修复

whandgdh的博客

06-17

7711

spring 微服务nacos未授权访问漏洞修复

Nacos提权漏洞修复

cc123489ll的博客

06-06

1167

Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。若您Nacos未修改secret.key，则攻击者可利用默认secret.key生成JWT Token，从而造成权限绕过访问到相关API接口。Nacos 官方于 2023年3月2日发布 2.2.0.1版本。

阿里Nacos安全漏洞，火速升级（附修复建议）

程序媛小琬的博客

04-11

1964

前言我是threedr3am，我发现nacos最新版本1.4.1对于User-Agent绕过安全漏洞的serverIdentity key-value修复机制，依然存在绕过问题，在nacos开启了serverIdentity的自定义key-value鉴权后，通过特殊的url构造，依然能绕过限制访问任何http接口。通过查看该功能，需要在application.properties添加配置nacos.core.auth.enable.userAgentAuthWhite:false，才能避免User-Ag

Springboot Admin 整合 Spring Security 服务端与客户端加密，解决Actuator未授权访问漏洞

qq_44785123的博客

05-21

808

2、编写配置文件 3、编写配置类 4、启动项加注解二、客户端-普通客户端 1、添加pom 2、编写配置文件 3、编写配置类三、客户端-网关-SpringCloudGateway SpringCloud Gateway 网关作为 Springboot Admin客户端时，配置和普通客户端有所不同 2、编写配置文件和普通客户端配置相同四、注意事项 1、注册中心如果使用eureka作为注册中心，客户端更改如下配置

NACOS漏洞深入解析（审计+复现）

qq_49849300的博客

03-27

5579

目前攻防对抗实战中，Nacos的环境遇到非常多，并且无一例外都没有开启auth，很多防守方甚至只是用防火墙阻断网上公开的那几条exp利用的关键地址，Nacos里面保存了企业很多的配置文件比如数据库连接信息、AK/SK信息等等，拿到账号密码等信息之后用来做密码本，然后再进行内网横向，杀伤力非常之大。看一下/config/src/main/java/com/alibaba/nacos/config/server/controller/ConfigController.java文件中369行开始的代码。

Spring Cloud Gateway 和 nacos 实现动态路由和actuator 监控

jsyandxys的博客

03-11

2803

一、业务场景网关作为所有请求流量的入口，在实际生产环境中为了保证高可靠和高可用，尽量避免重启，需要用到动态路由配置，在网关运行过程中更改路由配置。例如：因业务需要，新上线一个服务，而网关已对外提供服务，不能重启网关，但需要网关能路由到新服务来支撑新业务；二、实现方式方式1：编写动态路由实现类：自定义实现类，继承路由基类；方式2：编写监听 nacos 下发路由配置类；三、优点 1、对路由信息进行统一管理，存储到自己的网关内存中去； 2、有阿里稳定团队维护nacos； 3、避免路由信息存储在red

【问题篇】整改Nacos漏洞——升级Nacos以及开启鉴权问题整理

热门推荐

weixin_56995925的博客

08-06

1万+

整改Nacos漏洞——升级Nacos以及开启鉴权问题整理

Nacos 2.3.2 正式发布，修复重大 bug！

Java技术栈，分享最主流的Java技术

04-11

1073

大家好，我是R哥。Nacos 2.3.2 前几天正式发布了，修复了一个重大 bug。Nacos 一个用于构建云原生应用的动态服务发现、配置管理和服务管理平台，由阿里巴巴开源，致力于发现、配置和管理微服务。说白了，

Nacos漏洞总结复现

yy1715713348的博客

01-25

3164

Nacos中发现影响Nacos <= 2.1.0的问题，Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞，攻击者可以绕过用户名密码认证，直接登录Nacos用户。

Nacos历史漏洞复现（汇总）

qq_55202378的博客

08-18

7449

这个漏洞其实可以说是CVE-2021-29442的更深层次利用，在上文中我们分析了，Derby未授权SQL注入利用的是/derby这个路由，但是限制了语句必须为select开头的即查询语句，而仅仅是查询语句就无法RCE。：nacos带有一个嵌入式的小型数据库derby，而在版本<=1.4.0的默认配置部署nacos的情况下，它无需认证即可被访问，并执行任意sql查询，导致敏感信息泄露。简单来说就是将远程服务器上的jar包导入数据库，就可以动态调用类中的static方法），也就是所谓组合拳RCE。

Spring Cloud Alibaba Nacos集成Spring Boot Actuator

小布1994的博客

09-23

2304

项目代码 pom文件 <?xml version="1.0" encoding="UTF-8"?> <project xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://maven.apache.org/POM/4.0.0" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/

springboot监控actuator漏洞

01-23

### Spring Boot Actuator 安全漏洞概述 Spring Boot Actuator 提供了一系列生产就绪的功能来帮助开发者监控和管理应用程序。然而，这些功能如果未妥善保护，则可能成为攻击者的入口点。Actuator端点暴露的信息可以被恶意利用，从而导致敏感数据泄露或其他安全风险[^1]。 ### 常见的安全漏洞 #### 未经授权访问默认情况下，某些敏感的actuator端点可能会公开暴露在网络上而没有任何形式的身份验证或授权控制措施。这使得任何能够连接到应用的人都能获取内部状态信息甚至执行危险操作，比如关闭服务实例等[^2]。 #### 敏感信息泄漏一些actuator端点会返回有关JVM、数据库连接池以及其他运行时环境的具体细节。对于未经身份验证的请求者来说，这种级别的透明度可能导致潜在的风险，因为它们提供了关于基础设施布局和技术栈的重要线索。 ### 修复方案为了防止上述提到的各种威胁，建议采取以下几种方式加强安全性： #### 配置认证机制通过向`pom.xml`文件添加`spring-boot-starter-security`依赖项，可以在整个应用程序范围内启用基本HTTP认证或者其他更复杂的身份验证流程。这样做的好处是可以确保只有经过适当权限授予的人才能查看受保护资源的内容[^3]。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` #### 控制端点可见性针对特定版本中的已知问题，在网关项目的Nacos配置文件里增加相应的设置以限制哪些actuator端点应该对外部开放以及如何过滤掉不必要的选项。例如下面这段YAML代码展示了怎样只允许部分必要的接口保持开启状态并排除其他不重要的条目[^4]: ```yaml management: endpoints: web: exposure: include: "*" exclude: "env,health" enabled-by-default: false ``` 以上策略有助于减少因意外暴露而导致的数据泄密事件发生的可能性，并提高了系统的整体防御能力。