【Elasticsearch 未授权访问漏洞复现】

news2024/11/18 1:37:26

文章目录

  • 一、漏洞描述
  • 二、漏洞复现
  • 三、修复建议


一、漏洞描述

ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。Elasticsearch的增删改查操作全部由http接口完。由于Elasticsearch授权模块需要付费,所以免费开源的Elasticsearch可能存在未授权访问漏洞。该漏洞导致,攻击者可以拥有Elasticsearch的所有权限。可以对数据进行任意操作。业务系统将面临敏感数据泄露、数据丢失、数据遭到破坏甚至遭到攻击者的勒索。

由于未能通过身份验证限制资源,远程web服务器上运行的Elasticsearch应用程序受到信息泄露漏洞的影响。未经身份验证的远程攻击者可以利用此漏洞泄露数据库中的敏感信息。

二、漏洞复现

1、访问目标地址http://x.x.x.x:9200
在这里插入图片描述
看到You Know, for Search,漏洞大概率存在
可访问

http://IP:9200/_cat/indices
http://IP:9200/_river/_search
查看数据库敏感信息
http://IP:9200/_nodes
查看节点数据

2、下载ElasticHD,运行后浏览器访问127.0.0.1:9800,输入ES的IP加端口连接,就可以直接管理ES了
在这里插入图片描述可以看到连接成功,点击左侧能够看到索引列表并可以进行删除,漏洞验证成功

三、修复建议

1.限制 IP 访问,禁止未授权 IP 访问 ElasticSearch 9200 端口
2.增加访问验证,增加验证后切勿使用弱口令

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1155741.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

信号类型(通信)——QPSK、OQPSK、IJF_OQPSK调制信号

系列文章目录 《信号类型(通信)——仿真》 《信号类型(通信)——QAM调制信号》 文章目录 前言 一、QPSK通信调制信号 1.1、原理 1.2、仿真 二、OQPSK通信调制信号 1.1、原理 1.2、仿真 三、IJF_OQPSK通信调制信号 1.1、…

java--方法的其他形式

1.方法定义时:需要按照方法解决的实际业务需求,来设计合理的方法形式解决问题。 1.注意事项 ①如果方法不需要返回数据,返回值类型必须申明成void(无返回值申明),此时方法内部不可以使用return返回数据。 ②方法如果不需要接收数…

[HNCTF 2022 WEEK2]easy_include 文件包含遇上nginx

这道纯粹记录 完全没想到 <?php //WEB手要懂得搜索if(isset($_GET[file])){$file $_GET[file];if(preg_match("/php|flag|data|\~|\!|\|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\|\/i", $file)){die("error");}include($file); }else{highlight_file(__…

【C#】winform打包,桌面快捷方式设置图标无效

使用visual stdiong的打包工具插件&#xff1a;Microsoft Visual Studio Installer Projects时&#xff0c;发现无论怎么设置软件的快捷方式图标&#xff0c;都无法设置成功&#xff0c;尝试多次设置快捷方式图标均无效。 此时使用Greenfish Icon Editor Pro软件对图片进行像素…

微信小程序获取最新隐私协议授权 以及涉及隐私API权限申请

最近小程序新推出的隐私政策&#xff0c;导致之前小程序一些相关api无法调用&#xff0c;甚至连登录都出现了问题... 话不多说&#xff0c;来点实在的 提示用户同意隐私授权的弹窗结构&#xff0c;样式就不粘了... <u-popup :show"showPrivacy" mode"cente…

如何利用自定义数据对象(元数据)实现全场景身份数据治理

在数字化时代背景下&#xff0c;5G、云计算、大数据、物联网、人工智能等技术的发展&#xff0c;为企业数据管理提供了基础技术支撑。数字化浪潮推动企业快速升级迭代&#xff0c;在数据管理和数字化转型过程中&#xff0c;企业内部的数据情况常常错综复杂&#xff0c;并伴随着…

java毕业设计基于springboot+vue气象观测数据样本构建与分析系统-天气预报网站

项目介绍 本系统是利用Spring Boot框架而设计的一款结合用户的实际情况而设计的平台&#xff0c;利用VUE技术来将可供用户和管理员来使用的所有界面来显示出来&#xff0c;利用Java语言技术来编程实现用户和管理员所执行的各类操作业务逻辑&#xff0c;以MySQL数据库来存取系统…

线程池是什么?如何合理的配置线程池核心线程数?

前几天写了这个博客&#xff1a; Java实现业务异步的几种方案-CSDN博客 应粉丝要求&#xff0c;写一下线程池细节方面的东西&#xff0c;在看了很多资料和讲解视频后做如下讲解&#xff1a; 一、线程池解决的问题 为什么有异步任务不去手动的new&#xff0c;而是基于线程池…

Vue3前端100个必要的知识点

为什么是必要的&#xff0c;就是这100个知识点学完后&#xff0c;能独立完成一个小项目。最终能得到一个解决方案。也算是前端知识的积累。如果后面有需要的地方可以回来查。100个其实比较多&#xff0c;我会按新手老鸟&#xff0c;大神来分成3个等级&#xff0c;话不多说&…

2023年10月13日,美国材料与试验协会(ASTM)发布了新版玩具安全标准ASTM F963-23

新标准发布 2023年10月13日&#xff0c;美国材料与试验协会&#xff08;ASTM&#xff09;发布了新版玩具安全标准ASTM F963-23。 主要更新内容 与ASTM F963-17相比&#xff0c;此次更新包括&#xff1a;单独描述了基材重金属元素的豁免情况&#xff0c;更新了邻苯二甲酸酯的管…

英语——歌曲篇——500 Miles(离家五百里)

乡村音乐&#xff08;country music&#xff09;《500 Miles(离家五百里)》以一种怀乡、寻根 的意识&#xff0c;用思念留住时光还有一点哲理的味道&#xff0c;乡村音乐多年以来都不曾淡出大家的视野&#xff0c;确实有值得留恋的情怀。 500 Miles [The Brothers Four离家五…

云计算的基本概念

目录 云计算基本概念 什么是云计算 云计算的优势&#xff08;关键特征&#xff09; 云计算发展历程 云计算发展阶段 云计算的三种服务模式 云计算的四类部署模式 云计算的应用 云计算基本概念 什么是云计算 云计算的基本概念 云计算&#xff08;Cloud Computing&…

【Java SE】运算符详解

本篇是了解Java SE中的各种运算符&#xff0c;并且熟练并掌握它们&#xff1b; 目录 1. 什么是运算符 2. 算术运算符 2.1 基本四则运算符 2.2 增量运算符 2.3.自增/自减运算符 3. 关系运算符 4. 逻辑运算符(重点) 4.1.逻辑与 && 4.2 逻辑或 || 3. 逻辑非 ! 5…

Py之optimum:optimum的简介、安装、使用方法之详细攻略

Py之optimum&#xff1a;optimum的简介、安装、使用方法之详细攻略 目录 optimum的简介 1、加速推理 Optimum 提供多种工具&#xff0c;用于在不同生态系统上导出和运行优化模型&#xff1a; 2、功能概述 optimum的安装 1、如果您想使用 Optimum 的加速器特定功能&#…

diffusers-Understanding models and schedulers

https://huggingface.co/docs/diffusers/using-diffusers/write_own_pipelinehttps://huggingface.co/docs/diffusers/using-diffusers/write_own_pipelinediffusers有3个模块&#xff1a;diffusion pipelines&#xff0c;noise schedulers&#xff0c;model。这个库很不错&…

AUTOSAR存储篇 - NVRAM Manager(NvM)

文章目录 基础架构指南分层结构存储器硬件抽象的寻址机制例子 基本储存对象NV块RAM块ROM块管理块NV块头 块管理类型块管理类型概述NVRAM块结构NVRAM 块描述符表Native NVRAM 块Redundant NVRAM块Dataset NVRAM块NVRAM管理器API配置类 扫描顺序/优先级机制 通常行为功能要求设计…

项目综合实训,vrrp+bfd,以及策略路由的应用

目录 一&#xff0e; 项目需求 二&#xff0e; Visio设备画图 三&#xff0e; 设备选型 三&#xff0e;vlan规划 四&#xff0e;Ip地址规划 五&#xff0e;实验拓扑图 六&#xff0e;配置过程及结果 项目需求 1.S1作为VLAN10的主网关和根桥&#xff0c;S2作为v…

堆排序 详解+图解

堆排序是一种基于堆数据结构的排序算法&#xff0c;它的基本思想是将待排序序列构造成一个最大堆&#xff0c;然后将堆顶元素和堆底元素交换&#xff0c;再把堆的大小减一&#xff0c;使堆顶元素下沉到合适的位置&#xff0c;重复以上操作&#xff0c;直到整个序列有序。 堆排…

【QT】事件分发器

event事件分发器&#xff0c;用于分发事件&#xff0c;在这里也可以做拦截&#xff0c;返回值boo。如果返回的是true代表拦截处理&#xff0c;不再向下分发。 展示事件拦截 上一段代码&#xff1a;【QT】鼠标常用事件-CSDN博客 代码 // 事件分发器 // 拦截鼠标按下 // QEven…

Unity地面交互效果——2、动态法线贴图实现轨迹效果

Unity引擎动态法线贴图制作球滚动轨迹 大家好&#xff0c;我是阿赵。   之前说了一个使用局部UV采样来实现轨迹的方法。这一篇在之前的基础上&#xff0c;使用法线贴图进行凹凸轨迹的绘制。 一、实现的目标 先来回顾一下&#xff0c;上一篇最终我们已经绘制了一个轨迹的贴图…