当前位置: 首页 > news >正文

Elasticsearch未授权访问漏洞

news 2025/7/19 13:04:15
7.Elasticsearch未授权访问漏洞

Elasticsearch服务普遍存在一个未授权访问的问题,攻击者通常可以请求一个开放9200或9300的服务器进行恶意攻击。

步骤一:使用以下Fofa语法进行Elasticsearch产品搜索

"Elasticsearch" && port="9200"

步骤二:存在未授权访问则直接进入到信息页面...不需要输入用户密码登陆

访问测试

/_plugin/head/web管理界面

/_cat/indices

/_river/_search 查看数据库敏感信息

/_nodes 查看节点数据

漏洞修复:

1.访问控制策略,限制IP访问,绑定固定IP,

2.在 config/elasticsearch.yml 中为9200端口设置认证等

http://www.lryc.cn/news/415965.html

相关文章:

  • 【FPGA】module中CLOCK RESET iCall oDone的含义
  • OpenGL实现3D游戏编程【连载2】——了解并创建3D空间模型
  • Java-文件操作和IO
  • AI智能化赋能电商经济,守护消费净土,基于轻量级YOLOv8n开发构建公共生活景下的超大规模500余种商品商标logo智能化检测识别分析系统
  • C语言菜鸟入门·数据结构·链表超详细解析
  • C# Unity 面向对象补全计划 七大原则 之 依赖倒置原则 (DIP)难度:☆☆ 总结:多抽象,多接口,少耦合
  • 大模型面试问题
  • keeplive配置详解与haproxy配置详解
  • vivado里的LUT、LUTRAM、FF、BRAM、DSP、IO、BUFG、MMCM资源介绍
  • window关闭端口占用
  • Java:类和对象
  • Pandas数据分析案例之用户购买记录分析
  • 串口调试可能遇见的常见问题和排查方法
  • 运放学习提纲
  • nvidia系列教程-AGX-Orin系统刷机及备份
  • 将 Mojo 与 Python 结合使用
  • Unrecognized option: --add-opens=java.base/java.lang=ALL-UNNAMED
  • js与ios、安卓原生方法互调。
  • C++——多态经典案例(二)制作饮品
  • 内网域森林之ProxyNotShell漏洞利用
  • SpringBoot基础 第一天
  • 【C/C++】C语言和C++实现Stack(栈)对比
  • mysql定时备份脚本
  • 云原生 (1)
  • gitlab-pages创建静态站点
  • Python爬虫技术 案例集锦
  • 实战OpenCV之环境安装与配置
  • Android应用开发面试之Jetpack面试题分析汇总
  • 【数据结构】栈的概念、结构和实现详解
  • LeetCode 每日一题 2024/7/29-2024/8/4