柚子快報(bào)邀請(qǐng)碼778899分享：Dubbo未授權(quán)訪問漏洞

http://yzkb.51969.com/

Dubbo是阿里巴巴公司開源的一個(gè)高性能優(yōu)秀的 服務(wù)框架，使得應(yīng)用可通過高性能的 RPC 實(shí)現(xiàn)服務(wù)的輸 出和輸入功能，可以和 Spring框架無縫集成。dubbo 因配置不當(dāng)導(dǎo)致未授權(quán)訪問漏洞。

》》》漏洞復(fù)現(xiàn)《《《

步驟一：使用以下語句在Fofa上進(jìn)行資產(chǎn)收集....

(app="APACHE-dubbo") && (is_honeypot=false && is_fraud=false)

步驟二：使用Telnet程序直接進(jìn)行鏈接測(cè)試....

》》》防御手段《《《

1. 配置dubbo認(rèn)證。

2. 設(shè)置防火墻策略；

如果正常業(yè)務(wù)中dubbo 服務(wù)需要被其他服務(wù)器來訪問，可以通過 iptables 策略，僅允許指定的 IP 來訪問服務(wù)。

柚子快報(bào)邀請(qǐng)碼778899分享：Dubbo未授權(quán)訪問漏洞

http://yzkb.51969.com/

推薦文章