专栏名称: 洞见网安
洞见网安,专注于网络空间测绘、漏洞研究、远程监测、漏洞预警
今天看啥  ›  专栏  ›  洞见网安

网安简报【2024/6/19】

洞见网安  · 公众号  ·  · 2024-06-20 08:30
    

文章预览

2024-06-19 微信公众号精选安全技术文章总览 洞见网安 2024-06-19 0x1  Nacos普通用户功能受限(水一篇) 思极安全实验室 2024-06-19 13:30:46 本文讨论了在使用Nacos默认密钥配置漏洞时遇到的一个问题,即普通用户登录后无法查看配置文件。作者尝试了使用默认密钥生成的Token进行访问,但遇到了闪退的问题。随后,作者回忆起之前写过的一篇文章,介绍了如何不登录直接下载配置信息,这是由于对用户权限校验不严格导致的漏洞。作者尝试在之前的参数基础上添加Nacos的accessToken值,并成功下载了配置信息。然而,同事指出,下载的压缩包中只包含了public的配置文件,还有其他配置文件未能下载。通过研究数据包,作者发现tenant参数控制命名空间ID,通过设置正确的tenant值,可以下载特定命名空间下的配置文件。文章最后提供了包含正确tenant和accessToken ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览