Jupyter Notebook 未授权访问漏洞总结

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

  • 前言
  • 一、Jupyter Notebook 未授权访问漏洞是什么?
  • 二、复现
    • 1.搭建环境
    • 漏洞利用
  • 三、防御方法


前言

记录并自己复现下常见的未授权访问漏洞

一、Jupyter Notebook 未授权访问漏洞是什么?

Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。

如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。

二、复现

1.搭建环境

下载vulhub分别输入以下命令进行搭建环境
cd /root/vulhub/jupyter/notebook-rce
docker-compose build && docker-compose up -d
Jupyter Notebook 未授权访问漏洞总结_第1张图片
可看到成功创建

漏洞利用

在Terminal 创建控制台处可以执行任意命令
Jupyter Notebook 未授权访问漏洞总结_第2张图片
Jupyter Notebook 未授权访问漏洞总结_第3张图片

三、防御方法

-开启身份验证,防止未经授权用户访问。

-访问控制策略,限制IP访问,绑定固定IP。

你可能感兴趣的:(未授权访问,安全漏洞)