查看集群各服务的进程是都在正常运行kubectl get cs -o wide
kubectl get nodes -o wide
kubectl get svc kubernetes容器一直在 pendding,node 节点的负载却很低kube-scheduler 负责调度,查看这个服务的日志node 节点无法访问 CLUSTER-IP 和 端口不通看 kube-proxy 的日志,如果出现
转载
2024-02-02 10:45:13
210阅读
Ingress-Nginx 是 Kubernetes 生态中基于 Nginx 实现的 Ingress 控制器,用于管理集群外部的 HTTP(S) 和 WebSocket 流量路由。其核心作用是通过定义路由规则,将外部请求按域名、路径等策略转发至集群内部服务,并提供负载均衡、SSL 终止、限流等高级功能。
查询分析("OLAP"查询)。Druid最常被当做数据库来用以...
原创
2023-05-09 14:30:25
1589阅读
本文详细分析了Cisco Viptela vManage中的四个安全漏洞,包括SSRF+任意文件写入、未授权文件读取+目录遍历、命令注入和权限提升漏洞,攻击者可通过组合利用这些漏洞实现未授权的远程代码执行并获取root权限。 ...
首先从代码层面进行分析,接口validate_binary_path 最后调用了 subprocess.getoutput(来执行了命令,这一部分代码是ndows 下部署,后缀中会添加 .exe 。
原创
2024-06-20 15:55:54
0阅读
首先从代码层面进行分析,alidate_binary_path 最后调用了 subprocess.getoutput(来执行了命令,这一部分代码是对传入的路径进行检测,如果是在 linux 下直接拼接,在 下部署,后缀中会 .exe 。
原创
2024-06-11 11:17:36
255阅读
远程命令执行漏洞目前,该漏洞在互联网上已经出现多个远程攻击代码,针对网站的物理路径进行读取。同理,可以执行其他指令,如:通过wget上传后门文件到服务器上,等于植入后门。该系统采用Apache Struts xwork作为网站应用框架,且此框架对应版本存在远程代码执行漏洞(CNVD-2013-09777,对应CVE-2013-2251),攻击者可以利用漏洞取得网站服务器主机远程控制权。处置措施:1
原创
2023-05-08 15:22:51
287阅读
本文详细地介绍了常见未授权访问漏洞及其利用,具体漏洞列表如下:Jboss 未授权访问Jenkins 未授权访问ldap未授权访问Redis未授权访问elasticsearch未授权访问MenCache未授权访问Mongodb未授权访问Rsync未授权访问Zookeeper未授权访问Docker未授权访问1、Jboss未授权访问漏洞原因:在低版本中,默认可以访问Jboss web控制台(http:/
转载
2023-10-23 15:26:06
167阅读
IT实战联盟博客:http://blog.100boot.cn对于日前 XXL-JOB被各大云厂商报出存在远程命令执行漏洞的情况,XXL-JOB 作者表示此问题本质上不是“漏洞”,因为官网版本已提供鉴权组件,开启即可防护。具体回应如下:该问题本质上不属于“漏洞”,官网版本提供了鉴权组件,开启即可进行防护。该问题类似于将一台 Mysql、Redis 实例,不设置密码并开放给公网,严格来说不能因此说 Mysql、Redis 有漏洞,只需要设置密码即可。针对此问题,XXL-JOB 作者提供了.
转载
2021-06-05 20:45:02
4082阅读
本文深入分析VMware VeloCloud Orchestrator中存在的三个关键漏洞:认证绕过、SQL注入和目录遍
本文深入分析VMware VeloCloud Orchestrator中存在的三个关键漏洞:认证绕过、SQL注入和目录遍历漏洞。通过组合利用这些漏洞,攻击者可在未授权情况下实现远程代码执行,最终控制企业整个国际网络基础设施。
4月30日,阿里云发现,俄罗斯黑客利用Hadoop Yarn资源管理系统REST API未授权访问漏洞进行攻击。Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapReduce 算法进行分布式处理,Yarn是Hadoop集群的资源管理系统。此次事件主要因Hadoop YARN 资源管理系统配置不当,导致可以未经授权进行访问,从而被攻击者恶意利用。攻击者无需认证即可通过R
转载
2024-08-02 13:29:20
223阅读
1.redis未授权访问定义 Redis是一个C语言编写的基于key-value类型的高效数据库。 Redis可以执行一些操作将数据保存到内存之中(这也是为什么效率这么高的原因)。 同时redis也可以将内存中的数据写入磁盘之中。2.产生redis未授权访问漏洞的原因 主要是因为配置不当,导致此漏洞的产生,导致恶意数据写入内存或者磁盘之中,造成更大的危害 配置不当原因如下: red
转载
2022-03-06 15:02:00
0阅读
http://luckyzmj.cn/posts/15dff4d3.html ...
转载
2021-09-17 13:11:00
143阅读
2评论
# 如何利用Mongodb未授权漏洞
## 介绍
Mongodb未授权漏洞是一种常见的安全问题,它允许未经授权的用户访问和操作Mongodb数据库。这是由于Mongodb默认情况下没有启用身份验证机制,使得任何人都可以连接数据库并执行操作。在这篇文章中,我将向你介绍如何利用这个漏洞。
## 操作流程
下面是利用Mongodb未授权漏洞的基本步骤:
| 步骤 | 操作 |
| --- | --
原创
2023-08-14 07:52:19
224阅读
未授权访问漏洞:未授权访问漏洞是一个在企业内部非常常见的问题,未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。 未授权访问漏洞总览:1 、FTP 未授权访问(21)2 、LDAP 未授权访问(389)3 、Rsync 未授权访问(873)4 、ZooKeeper 未授权访问(2181)
一、简介Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。介绍Redis因配置不当可以导致未授权访问,被者恶意利用。如果Redis以root身份运行,可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器,可导致服务
转载
2023-10-18 14:33:27
128阅读
添加环境变量export ZOOKEEPER_HOME=$HOME/dev/zookeeper-3.3.6
export PATH=$ZOOKEEPER_HOME/bin:$ZOOKEEPER_HOME/conf:$PATH说明:换成自己的目录配置zookeeper进入$ZOOKEEPER_HOME/conf目录、 zoo_sample.cfg 改名为 zoo.cfg,因为 Zook
由于近期阿里云服务器报警redis漏洞,经过调查对黑客的入侵过程进行了整理并模拟一遍,庆幸此次黑客行为未对公司造成影响,同时还让我学习了很多知识,这里分享给大家。1,被入侵的前提条件redis没有设置密码 。redis配置文件没有打开保护模式,并且没有bindIP地址 。安全组设置打开了redis的6379端口。以root用户启动redis。 有人可能会问,怎么可能这么傻,连个密码都不设置。现实情
转载
2023-12-30 16:12:52
113阅读
问题场景:线上页面安全测试反馈存在SpringBoot Actuator未授权访问问题。简单说就是访问https://xxx.xx.x/actuator/env(xxx.xx.x,页面调用接口域名)时,会返回全部环境属性。  
转载
2024-03-23 20:47:05
252阅读
