发表新帖
发表新帖

渗透测试漏洞

Blade 未结
关注 举报
1 134
yangli
yangli 剑童 2024-08-30 14:13

一、该问题的重现步骤是什么?

渗透测试漏洞

1. Spring BootActuator未授权访问漏洞,攻击者可通过访问默认的执行器端点(endpoints)来获取应用系统中的相关敏感信息。
访问nacosconfig可获取内网nacos密码

2.平台存在Swagger未授权访问漏洞,攻击者可以利用该漏洞遍历所有API接口,可能存在未授权API可对数据进行任意操作,导致敏感数据泄露、数据丢失、数据破坏等风险


二、你期待的结果是什么?实际看到的又是什么?

想解决这个问题

三、你正在使用的是什么产品,什么版本?在什么操作系统上?

bladex-3.0.1      window

四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。

1条回答
  • zhx1994 - BladeX技术支持
    2024-08-30 19:02

    1. 在nginx上面添加这个配置:1725015679398.jpg

    2. swagger在生产环境用prod配置启动的服务是禁用的:1725015733912.jpg

    0 讨论(0)
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
热议问题
blade-dags启动问题 1
relay-amqp中如何优雅地获取device完整信息 1
远程调用鉴权失败 1
代码版本4.1.0,前后端代码、密钥都配置完毕,登录时一直提示“用户名或密码错误” 1
新建的微服务启动一直报错 1
Could not find artifact org.springblade.platform:blade-bom:pom:3.2.0.RELEASE in aliyun-repos 1
relay-amqp中如何获取到完整的device信息(iot_device中的device信息) 1
APP如何设置没有登入的页面可以一直打开呢? 1
数据大屏 点击自定义echarts图组件 数据与组件关联不上 2
自定义了blade-tool依赖发现各种bean依赖问题 2
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2024 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号