等保整改之开启Nacos认证-漏扫发现我们使用Nacos时存在未授权访问的漏洞
Posted Heartsuit
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了等保整改之开启Nacos认证-漏扫发现我们使用Nacos时存在未授权访问的漏洞相关的知识,希望对你有一定的参考价值。
背景
还是之前的一个小项目,部署在专网中,等保在做了一次漏扫后,说是有个高危漏洞要求整改。打开漏洞扫描报告后,总体网络风险级别为:比较危险: nacos未授权访问漏洞 ,漏洞详细信息如下:
Nacos 未授权访问!?这还了得??
我们知道, Nacos 结合了注册中心与配置中心,本身在进入后台管理页面时也有一个认证(当然,我们的 Nacos 部署在专网中,并修改了默认密码),这让我们误以为后续的服务注册、配置读取与更新也是开启认证的。显然这就是自以为是的想法,这就是光顾着使用技术,而没有相对深入研究导致的安全事故。其实,官方文档中明确说明: Nacos 服务端默认是不需要登录的,这样会导致配置中心对外直接暴露。
试想一下,你的服务注册、配置读取与更新接口竟然是暴露的,没有任何认证拦截的;尤其是配置中心,通过 URL 可以直接访问到完整的配置信息,甚至包括各种服务的密码信息等,就问怕不怕。。
Nacos官方文档列出了以下服务发现与配置管理的接口:
- 服务注册
以上是关于等保整改之开启Nacos认证-漏扫发现我们使用Nacos时存在未授权访问的漏洞的主要内容,如果未能解决你的问题,请参考以下文章