Memcached 是一个高性能的分布式内存对象缓存系统,用于动态Web应用以减轻数据库负载。

该服务的端号为:11211

使用绿盟漏洞扫描系统发现某服务器存在Memcached 未授权访问漏洞,如下图所示。

验证方法一: 

使用nmap 脚本script-memcached-info 进行验证。

上图中Memcached服务的11211端口已经关闭,因此不存在Memcached 未授权访问漏洞 。

验证方法二:

漏洞ip: X.X.X.11

漏洞证明:telnet X.X.XX.11 11211提示连接成功表示漏洞存在(telnet连接成功后是一个黑框,执行Memcached命令stats),如下:

整改建议:

1.限制访问

如果memcache没有对外访问的必要,可在memcached启动的时候指定绑定的ip地址。

2.使用最小化权限账号运行Memcached服务

使用普通权限账号运行,指定Memcached用户。

3.启用认证功能

Memcached本身没有做验证访问模块,Memcached从1.4.3版本开始,能支持SASL认证。

4.修改默认端口

修改默认11211监听端口为11222端口。

Memcached 未授权访问漏洞验证相关推荐

  1. Elasticsearch 未授权访问漏洞验证及修复

    漏洞修复: 1.限制IP访问,禁止未授权IP访问ElasticSearch端口(默认9200). 2.通过ES插件形式来增加访问验证,需要注意增加验证后切勿使用弱口令: ①shield插件,收费,暂不 ...

  2. Memcached未授权访问漏洞记录(CVE-2013-7239、危害级别全版本、端口:11211)

    Memcached介绍 Memcached是一个自由开源的,高性能,分布式内存对象缓存系统. Memcached是以LiveJournal旗下Danga Interactive公司的Brad Fitz ...

  3. Memcached 未授权访问漏洞

    简介 Memcached是一套常用的key-value缓存系统,由于它本身没有权限控制模块,所以开放在外网的Memcache服务很容易被攻击者扫描发现,通过命令交互可直接读取memcache中的敏感信 ...

  4. 常见未授权访问漏洞详解

    参考文章1:二十八种未授权访问漏洞合集(CSDN) 参考文章2:28种未授权访问漏洞(知乎) 参考文章3:未授权访问漏洞总结(freebuf) 参考文章4:常见未授权访问漏洞总结(先知社区) 文章目录 ...

  5. 【应急类漏洞】————1、未授权访问漏洞总结

    前言 2018年5月,比特币勒索病毒 WannaCry 席卷全球,国内众多机构部门计算机系统瘫痪.根据之前应急响应的案例分析,以及一些安全报告统计,目前大部分的勒索病毒均利用未授权访问等通用漏洞进行植 ...

  6. 漏洞复现 - - - 未授权访问漏洞Redis

    目录 一,未授权访问漏洞概述 二,常见的未授权访问漏洞 Redis历史漏洞 三,Redis未授权访问 漏洞信息 Redis 简介 四,环境搭建 漏洞环境搭建 五,漏洞利用方法 实验环境 方法一 ​编辑 ...

  7. 未授权访问漏洞-Redis未授权访问漏洞

    文章目录 未授权概述 常见未授权访问漏洞 Redis未授权访问 Redis简介 应用场景 Redis 架构 漏洞发现 端口 端口探测 Redis常用命令 Redis历史漏洞 Redis未授权访问 Re ...

  8. Hadoophbase监控页面未授权访问漏洞处理方案验证过程实现

    Hadoop&hbase监控页面未授权访问漏洞处理方案验证 Hadoop:监控页面授权登录配置步骤: 1 页面弹出框授权 1.1页面弹出框授权配置 1.上传附件的jar包hadoop-http ...

  9. 渗透小实战 BSPHP验证系统存在未授权访问漏洞

    额,今天工作 打打系统,一个BSPHP验证系统. 这个系统有一个算是中危的未授权访问漏洞,泄露了用户名和用户ID,KEY,登录时间等信息. POC http://127.0.0.1/admin/ind ...

最新文章

  1. VMware出现“该虚拟机似乎正在使用中 请获取所有权”
  2. android 九宫格虚线,形状Drawable和九宫格
  3. Tomcat正常启动,一访问就报错
  4. F - GCD or MIN(数论)
  5. hbase 单机连接hadoop_Hadoop、Hbase单机环境安装
  6. 前端布局之网格gird布局(简单易懂)
  7. ios自带连点器一秒10000下_这6个iOS隐藏技巧让你的iPhone更高效 超级实用
  8. 中国“两高”发布司法解释 依法严惩涉地下钱庄犯罪
  9. 10.java之父被B站学习者下载达7000万次的Java视频教程你还没有看过知乎
  10. linux局域网聊天软件,自制局域网内聊天与图片传输小软件
  11. 机械制图计算机识图,机械制图基础知识
  12. android英文菜单,安卓recovery菜单中英文对照
  13. winrm java客户端_Ansible for Windows:WinRM HTTPS设置
  14. 《秘密》之你的秘密和生命的秘密
  15. 用音响里的零件做迷你小机器人_优必选和腾讯一起做了款人形机器人,搭载“小微”的它想比智能音箱更好用...
  16. (附源码)springboot基于java的超市购物管理系统 毕业设计 271611
  17. 网站怎么备案?如何快速通过网站备案?网站快速备案攻略请查收!
  18. Python2.7+PyQt5的安装
  19. 人活着最重要的是什么
  20. 【读书笔记】《结构思考力》——李忠秋

热门文章

  1. 使用ssh tunnel通过ProxyCommand连接服务器
  2. 通信巨头博通的崛起之路
  3. 方久乐基于EAS MES生产执行系统构建安全气囊的精益化生产和全过程质量追溯
  4. oracle 按照字母排序,MySQL、Oracle、DB2等数据库常规排序、自定义排序和按中文拼音字母排序...
  5. Ae 入门系列之十二:三维合成
  6. YOLO, Real-Time Object Dete
  7. LaTex-资源分享-包括各种LaTex模板,如书籍 PPT 论文 简历, 国科大学位论文模板等
  8. 计算机软件系统有两大部分组成,1、计算机软件系统一般分为(A)两大部分
  9. Linux 系统的安装
  10. Python【2019年蓝桥杯省赛C++填空】