Nacos Namespace 未授权访问漏洞

Nacos Namespace 未授权访问漏洞

问题

nacos 源码启动,发现即使开启了鉴权:nacos.core.auth.enabled=true,未登录情况下,命名空间列表接口仍旧能查询到数据
在这里插入图片描述

鉴权逻辑

  • 通过**AuthFilter **进行权限校验
  • 判断方法上是否存在注解 @Secured 及是否开启鉴权

在这里插入图片描述

原因

/v1/console/namespaces/v2/console/namespace

以上接口均未添加注解:@Secured 不清楚为什么
在这里插入图片描述

解决方式

  • 对应接口添加注解,ActionTypesREAD

        @Secured(resource = AuthConstants.CONSOLE_RESOURCE_NAME_PREFIX + "namespaces", action = ActionTypes.READ)

在这里插入图片描述

测试效果

在这里插入图片描述

OK 问题解决

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/600298.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Matlab 基础语法 小结

input x input(prompt) # input digit str1 input(prompt,s) # input string执行图像处理任务 require Image Processing Toolbox Image Processing Toolbox™ provides a comprehensive set of reference-standard algorithms and workflow apps for image processing, a…

linux 内核版本

Linux 内核的版本命名遵循主版本号.次版本号.修订版本号的模式。其中,主版本号表示重大的变化或重写;次版本号如果是偶数,表示稳定版本,适合广泛使用,如果是奇数,表示开发版本,包含新的实验性功…

WinForm用微软打包工具打包

WinForm用微软打包工具打包 1. 安装扩展 下载扩展Microsoft Visual Studio Installer Projects 点击扩展 —> 管理扩展 安装完之后重启VS就好了。 2. 新建Set up项目 点击解决方案 —> 添加 —> 新建项目 选择这个Setup Project 创建打包项目 安装项目&…

就业班 第二阶段(python) 2401--4.3 day2 python2

七、标准数据类型 1、为什么编程语言中要有类型 类型有以下几个重要角色: 对机器而言,类型描述了内存中的电荷是怎么解释的。 对编译器或者解释器而言,类型可以协助确保上面那些电荷、字节在程序的运行中始终如一地被理解。 对程序员而言…

ACM ICPS独立出版 | 第三届智能无人系统与人工智能国际会议(SIUSAI 2024)

会议简介 Brief Introduction 2024年第三届智能无人系统与人工智能国际会议(SIUSAI 2024) 会议时间:2024年5月17日-19日 召开地点:中国青岛 大会官网:www.siusai.org 2024年第三届智能无人系统与人工智能国际会议(SIUSAI 2024)由青岛大学主办…

C语言 函数——函数的定义、调用和参数传递

目录 模块化编程(Modular Programming) 函数的分类 函数的定义 使用函数编程的好处 函数调用的基本方式 函数调用时的数据传递 函数调用的过程 main函数的特殊性 大话三国 分而治之 如果将main()函数比作诸葛亮&#xff…

性能监控工具的配置及使用 - Spotlight On Oracle(oracle)

一、 Spotlight On Oracle(oracle) 1.1. 工具简介 Spotlight是一个强有力的Oracle数据库实时性能诊断工具,提供了一个直观的、可视化的数据库活动展现。Spotlight可视化展现性能瓶颈,一旦某个指标超出可接受的阀值的话。而且,通过下钻功能,DBA可以简单、快速地追查性能…

✌2024/4/3—力扣—盛最多水的容器

代码实现: 方法一:暴力解法——遍历左右边,找出所有面积,取最大值——超时 #define min(a, b) ((a) > (b) ? (b) : (a)) #define max(a, b) ((a) > (b) ? (a) : (b))int maxArea(int *height, int heightSize) {int ans …

扭蛋机小程序搭建,线上扭蛋机带来的巨大收益

扭蛋机作为当下潮玩行业的一种,深受消费者的喜爱,市场规模不断扩大。扭蛋机在最开始的受众群体是儿童,随着市场的发展,扭蛋商品的创意越来越多,开始推出各类适合成年人的扭蛋商品。 在近几年的时间中,扭蛋…

基于单片机手机屏蔽器系统仿真设计

**单片机设计介绍,基于单片机手机屏蔽器系统仿真设计 文章目录 一 概要二、功能设计设计思路 三、 软件设计原理图 五、 程序六、 文章目录 一 概要 基于单片机手机屏蔽器系统的仿真设计主要涉及到手机信号屏蔽的原理、单片机控制逻辑设计、仿真软件的选择与使用以…

Redis的三种部署方案

文章目录 单机模式主从复制哨兵模式分片集群 在Redis中提供的集群方案总共有三种:单机模式,主从复制集群、哨兵模式,Redis分片集群 单机模式 Redis 只运行在一台服务器上,并且所有的数据都存储在这一台服务器的内存中。 主从复制…

ROC指标交易成功,不是了解优点WeTrade众汇更正视缺点

在上篇文章中,我们了解什么是ROC指标同时也了解了ROC指标的优势,但在WeTrade众汇看来如果真正的想使用ROC指标交易成功,在了解ROC指标优点的基础上,我们更应该正视 ROC指标的缺点,我们才能在交易的路上走的更远。 下面…