漏洞描述

Zookeeper的默认开放端口是2181.Zookeeper安装部署之后默认情况下不需要任何身份验证。造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏。

修复建议

一、添加访问控制,配置服务来源地址限制策略(方便实惠、干净卫生)

在zookeeper.properties中添加clientPortAddress=127.0.0.1

二、增加Zookeeper的认证配置(麻烦)

1)增加认证用户
addauth digest user1:password1

2)设置权限
setAcl /test auth:user1:password1:cdrwa

3)查看Acl设置
getAcl /path

Kafka自带的Zookeeper未授权访问漏洞相关推荐

  1. ZooKeeper未授权访问漏洞确认与修复

    文章目录 探测2181 探测四字命令 用安装好zk环境的客户端连接测试 修复 修复步骤一 关闭四字命令 修复步骤二 关闭未授权访问 zookeeper未授权访问测试参考文章: https://www. ...

  2. ZooKeeper 未授权访问漏洞利用

    点击"仙网攻城狮"关注我们哦~ 不当想研发的渗透人不是好运维 让我们每天进步一点点 简介 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,它是一个为分布式应用提 ...

  3. ZooKeeper未授权访问漏洞记录(影响范围:全版本,端口:2181)

    漏洞简介 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件.它是一个为分布式应用提供一致性服务的软件 ...

  4. 2022-10-08(Discuz漏洞、FCKeditor文本编辑器漏洞、ZooKeeper 未授权访问、Memcahe 未授权访问)

    文章目录 Discuz漏洞-请求报文中含有恶意的PHP代码(CVE-2019-13956) FCKeditor文本编辑器漏洞 test.html browser.html fckeditor.html ...

  5. 未授权访问漏洞-Redis未授权访问漏洞

    文章目录 未授权概述 常见未授权访问漏洞 Redis未授权访问 Redis简介 应用场景 Redis 架构 漏洞发现 端口 端口探测 Redis常用命令 Redis历史漏洞 Redis未授权访问 Re ...

  6. 常见未授权访问漏洞详解

    参考文章1:二十八种未授权访问漏洞合集(CSDN) 参考文章2:28种未授权访问漏洞(知乎) 参考文章3:未授权访问漏洞总结(freebuf) 参考文章4:常见未授权访问漏洞总结(先知社区) 文章目录 ...

  7. 漏洞复现 - - - 未授权访问漏洞Redis

    目录 一,未授权访问漏洞概述 二,常见的未授权访问漏洞 Redis历史漏洞 三,Redis未授权访问 漏洞信息 Redis 简介 四,环境搭建 漏洞环境搭建 五,漏洞利用方法 实验环境 方法一 ​编辑 ...

  8. 二十八种未授权访问漏洞合集(暂时最全)

    目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 ...

  9. Redis未授权访问漏洞记录(端口:6379)

    目录 Redis 扫描 未授权登录以及利用 写入SSH公钥,进行远程登录 定时任务反弹shell 写入一句话木马 其它一句话木马 ​ 写入/etc/passwd文件 利用主从复制RCE ​ 本地Red ...

  10. 漏洞检测与防御:Redis未授权访问漏洞复现

    漏洞检测与防御:Redis未授权访问漏洞复现 1. 未授权访问漏洞 未授权访问漏洞可以理解为安全配置.权限认证.授权页面存在缺陷,导致其他用户可以直接访问,从而引发权限可被操作,数据库.网站目录等敏感 ...

最新文章

  1. 区块链学堂(3):Solidity
  2. html 和 body标签的 css 设置
  3. redis+lua现实游戏中的一些常用功能
  4. global.css
  5. UITables With Downloaded Images - Easy Asynchronous Code UITable 异步加载图片
  6. Linux ---yum源详解
  7. 10.27大视野月赛翻车实况
  8. win32com excel转pdf
  9. xss漏洞java代码_Java处理XSS漏洞的工具类代码
  10. HTML教程(看完这篇就够了)
  11. 打字时禁用触摸板_触摸打字感觉不错,但不适合我
  12. Elasticsearch 和 MongoDB 对比
  13. phpwind mysql 密码_PhpWind教程:MySQL数据库密码修改方法
  14. 硬件设计—数字电路常用设计准则
  15. Blender图解教程:给苏珊一头美腻的秀发 之 用粒子实现写实风头发
  16. VulnHub日记(八):Hacker Kid
  17. 电路分析基础笔记(一)基础知识
  18. macOS如何查看pdm文件
  19. 查询表某列的加权平均值
  20. 计算机基础知识介绍pdf,计算机基础知识整理.pdf

热门文章

  1. 抖音昵称html,抖音个性网名带特殊符号 带漂亮符号的抖音昵称
  2. 安卓10终于来了,能吃上的果然只有这些手机!
  3. element el-table表头添加背景图片
  4. iOS 开发中出现假死解决思路
  5. 赛事解析|乒乓球时序动作定位大赛亚军方案分享
  6. Ubuntu安装wine
  7. 现代Web发展趋势和前沿技术综述
  8. 传感器实验——无源蜂鸣器
  9. 齐聚静安,共襄盛举--「2020上海静安国际大数据论坛」成功举行
  10. 苹果pencil有必要买吗?强烈推荐几款苹果平替笔