檢測方法
1、下載解壓安裝並啟動nacos 我用的是1.4.3
2、下載檢測漏洞工具
Alibaba-Nacos-Unauthorized.jar
地址 https://gitee.com/kiang70/PocList/blob/main/Alibaba-Nacos-Unauthorized.jar
檢測方法
這樣是不存在漏洞的提示
3需要修改的配置
首先使用最新版本的nacos
修改application.properties
(1)nacos.core.auth.enabled=false 改為true
(2)nacos.core.auth.enable.userAgentAuthWhite=true 改為false
(3)nacos.core.auth.server.identity.key= 加上自定義的值
nacos.core.auth.server.identity.value= 加上自定義的值
一、都不改的情況下
檢測提示存在漏洞
且 通過命令
curl -XPOST -d 'username=test&password=test' 'http://127.0.0.1:8848/nacos/v1/auth/users' 可以新增用戶
curl -XPUT -d 'username=test&newPassword=test' 'http://127.0.0.1:8848/nacos/v1/auth/users' 可以修改用戶密碼
curl -XDELETE -d 'username=test' 'http://127.0.0.1:8848/nacos/v1/auth/users' 可以刪除用戶
linux 是用單引號
window用雙引號,否則會提示curl: no URL specified
二、只改(1)
檢測提示存在漏洞
通過curl 命令 不能編輯
(1)(2)(3)同時修改解決這倆個問題,沒有試過(1)(2)(3)各種組合情況,有興趣的同學可以試一下
最后改過以后代碼yml的nacos配置需要補充username和password即nacos的登錄賬號密碼,這樣才能保證服務可以注冊到nacos上