Basic Auth Base64 HTTP 密码未加密

Blade 未结 2 252
yiiiiiii
yiiiiiii 剑童 2024-08-07 17:38

使用bladex的cloud的框架,走了网关服务,网关端口为18080,出现了发现 Basic Auth Base64 HTTP 密码未加密的中风险

1723023509263.png

2条回答
  • 2024-08-07 18:39

    描述的再清楚些,这个接口做了什么配置,用的basic认证还是什么都没有额外配置,漏洞的详细报告是什么,你的配置是什么,如何重现进行攻击。

    另外把系统部署在https,basic auth的问题就不存在了,截取到的本身就已经被加密了,无法解密。

    0 讨论(0)
  • 2024-08-07 18:47

    #服务器配置

    server:

    undertow:

    threads:

    # 设置IO线程数, 它主要执行非阻塞的任务,它们会负责多个连接, 默认设置每个CPU核心一个线程

    io: 16

    # 阻塞任务线程池, 当执行类似servlet请求阻塞操作, undertow会从这个线程池中取得线程,它的值设置取决于系统的负载

    worker: 400

    # 以下的配置会影响buffer,这些buffer会用于服务器连接的IO操作,有点类似netty的池化内存管理

    buffer-size: 1024

    # 是否分配的直接内存

    direct-buffers: true


    #spring配置

    spring:

    cloud:

    sentinel:

    eager: true

    devtools:

    restart:

    log-condition-evaluation-delta: false

    livereload:

    port: 23333


    #feign配置

    feign:

    sentinel:

    enabled: true

    okhttp:

    enabled: true

    httpclient:

    enabled: false


    #对外暴露端口

    management:

    endpoints:

    web:

    exposure:

    include: "*"

    endpoint:

    health:

    show-details: always


    #knife4j配置

    knife4j:

    #启用

    enable: true

    #基础认证

    basic:

    enable: false

    username: blade

    password: blade

    #增强配置

    setting:

    enableSwaggerModels: true

    enableDocumentManage: true

    enableHost: false

    enableHostText: http://localhost

    enableRequestCache: true

    enableFilterMultipartApis: false

    enableFilterMultipartApiMethodType: POST

    language: zh_cn

    enableFooter: false

    enableFooterCustom: true

    footerCustomContent: Copyright © 2023 BladeX All Rights Reserved


    #swagger公共信息

    swagger:

    title: BladeX 接口文档系统

    description: BladeX 接口文档系统

    version: 3.4.0.RELEASE

    license: Powered By BladeX

    license-url: https://bladex.cn

    terms-of-service-url: https://bladex.cn

    contact:

    name: 翼宿

    email: bladejava@qq.com

    url: https://gitee.com/smallc

    #blade配置

    blade:

    #token配置

    token:

    #是否有状态

    state: false

    #是否单用户登录

    single: false

    #单用户登录范围

    single-level: all

    #token签名 使用blade-auth服务 @org.springblade.test.SignKeyGenerator 获取

    sign-key: RPNtzYjMnPbJ****0jk0UPaHXo

    #token加密 使用blade-auth服务 @org.springblade.test.CryptoKeyGenerator 获取

    crypto-key: VTEVtvI6JjZ****hsXQg8R3HvDZJ

    #接口配置

    api:

    #报文加密配置

    crypto:

    #启用报文加密配置

    enabled: false

    #使用blade-auth服务 @org.springblade.test.CryptoKeyGenerator 获取,需和前端保持一致

    aes-key: 8mvSs9Zd****tVV68LrBLH

    #使用blade-auth服务 @org.springblade.test.CryptoKeyGenerator 获取,需和前端保持一致

    des-key: RdbUP****t5I2Po

    #jackson配置

    jackson:

    #null自动转空值

    null-to-empty: true

    #大数字自动转字符串

    big-num-to-string: true

    #支持text文本请求,与报文加密同时开启

    support-text-plain: false

    #redis序列化方式

    redis:

    serializer-type: protostuff

    #日志配置

    log:

    request:

    #开启控制台请求日志

    enabled: true

    #控制台请求日志忽略

    skip-url:

    - /blade-desk/notice/list

    - /blade-chat/weixin/**

    #开启错误日志入库

    error-log: true

    #xss配置

    xss:

    enabled: true

    skip-url:

    - /weixin

    - /notice/submit

    - /model/submit

    - /datasource/submit

    - /design/model/submit

    - /design/form/submit

    - /design/condition/submit

    - /process/startProcess

    - /process/completeTask

    #安全框架配置

    secure:

    #接口放行

    skip-url:

    - /test/**

    #授权认证配置

    auth:

    - method: ALL

    pattern: /weixin/**

    expression: "hasAuth()"

    - method: POST

    pattern: /dashboard/upload

    expression: "hasTimeAuth(9, 17)"

    - method: POST

    pattern: /dashboard/submit

    expression: "hasAnyRole('administrator', 'admin', 'user')"

    #基础认证配置

    basic:

    - method: ALL

    pattern: /dashboard/info

    username: "blade"

    password: "blade"

    #动态签名认证配置

    sign:

    - method: ALL

    pattern: /dashboard/sign

    crypto: "sha1"

    #多终端认证配置

    client:

    - client-id: sword

    path-patterns:

    - /sword/**

    - client-id: saber

    path-patterns:

    - /saber/**

    #多租户配置

    tenant:

    #多租户增强

    enhance: true

    #多租户授权保护

    license: false

    #动态数据源功能

    dynamic-datasource: false

    #动态数据源全局扫描

    dynamic-global: false

    #多租户字段名

    column: tenant_id

    #排除多租户逻辑

    exclude-tables:

    - blade_user

    #分库分表配置

    sharding:

    enabled: false



    0 讨论(0)
提交回复