Ниже приводится краткое описание и запись проблем, возникающих при работе с уязвимостями nacos. Проблемы с уязвимостями nacos заключаются в следующем:

• Обход аутентификации лазейки
• Затронутые версии: Nacos <= 2.0.0-ALPHA.1
• (Несанкционированный доступ из-за неправильного обращения с лазейкой User-Agent . Благодаря этому злоумышленник может выполнить любую операцию, включая создание новых пользователей и выполнение операций после входа в систему.

Планы исправления ситуации с НАКО следующие:

1. Обновить версию Nacos
2. Включить аутентификацию Nacos

первый шаг:

То есть для обновления версии nacos. Внутренний проект компании имеет версию nacos около 1.3. Непосредственно обновите сервер nacos до версии 2.0.0 или выше. В облаке компании имеется образ nacos 2.0.3. образ nacos 2.0.3.

Шаг второй:

После обновления версии сервера nacos вам все равно необходимо включить аутентификацию nacos. Ее можно включить несколькими способами, изменив файл конфигурации nacos. Проект компании включается через docker, поэтому метод рекомендован официальной документацией nacos. Включите его следующим образом:

Быстрый старт Nacos Docker

a2fdfd6543bd43a0a7450cbb733b8bff.png

• NACOS_AUTH_ENABLE, по умолчанию false, установлено значение true
• NACOS_AUTH_CACHE_ENABLE, по умолчанию false, установлено значение true

Обратите внимание на проблему здесь:

NACOS_AUTH_IDENTITY_KEY, NACOS_AUTH_IDENTITY_VALUE, эти две конфигурации имеют значения по умолчанию и не обязательно должны использоваться.

Шаг третий:

Затем получите доступ к этим адресам уязвимостей nacos, например:

ip:порт/nacos/v1/auth/users?username=test&password=test,Вы можете видеть, что он больше не доступен.,Это означает, что аутентификация успешно включена.

Шаг 4:

Если у nacos есть обновленная версия,Тогда у вас обязательно возникнет проблема,То есть клиент не может конвертировать Служить Зарегистрируйтесь, чтобыnacosПонятно（Несмотря на тона стороне клиентаФайл конфигурации настраивает пароль учетной записи.Все еще будетНевозможно зарегистрироваться в регистрационном центре）。

Моя модифицированная конфигурация:

Ошибка: неизвестный пользователь!

com.alibaba.nacos.api.exception.NacosException: <html><body><h1>Whitelabel Error Page</h1><p>This application has no explicit mapping for /error, so you are seeing this as a fallback.</p><div id='created'>Sat May 14 06:51:53 CST 2022</div><div>There was an unexpected error (type=Forbidden, status=403).</div><div>unknown user!</div></body></html>

Причина: после обновления версии сервера nacos версия сервера nacos не соответствует версии jar-пакета nacos-client, в результате чего службу невозможно зарегистрировать в центре регистрации nacos.

Решение:

Позвольте мне сначала рассказать о подводных камнях, с которыми я столкнулся: Первое, о чем я подумал, это заменить все версии Springboot, Springcloudalibab и Springcloud, соответствующие nacos, на соответствующие версии. В результате я обнаружил, что проблема огромная, что приведет. ко многим проблемам в проекте, например Существует также проблема с feign, и версия feign не совпадает. Я сначала не нашел проблемы с feign. Я добавил @lazy lazy loading ко всем вызовам feign и нашел. что услуга была успешно зарегистрирована, но вызов на самом деле все еще вызывал проблемы.

Requested bean is currently in creation: Is there an unresolvab circular reference?

Я почувствовал, что усложняю ситуацию, поэтому заглянул на официальный сайт и обнаружил, что была изменена только версия nacos-client, а все остальные версии Springboot, Springcloudalibab и Springcloud были восстановлены в исходное состояние.

Примечание. Информация в Интернете гласит.,Nacos-клиент версии 1.x может получить доступ к nacos-серверу версии 2.x.,ноNacos-клиент версии 2.x не может получить доступ к nacos-серверу 1.x。но。。。。。。。。。。。

Мой исходный сервер - 1.x, а клиент - 1.x, так что все должно быть нормально. Теперь мой сервер обновлен до 2.x. Судя по Интернету, моя 1.3.3 должна нормально зарегистрироваться. было неудовлетворительным, и было сообщено об ошибке.

com.alibaba.nacos.api.exception.NacosException: <html><body><h1>Whitelabel Error Page</h1><p>This application has no explicit mapping for /error, so you are seeing this as a fallback.</p><div id='created'>Sat May 14 06:51:53 CST 2022</div><div>There was an unexpected error (type=Forbidden, status=403).</div><div>unknown user!</div></body></html>

В конце концов, версия nacos-client также была обновлена ​​до соответствующей версии nacos-server, 2.*.

Это официально рекомендуется.