大資料Storm 之RCE實踐
日常刷網頁的時候,無意中看到一個storm ui 的web頁面,搜了一下好像是大資料的框架,順便看到了aRe00t 師傅的文章《黑掉大資料之spark》蠻有意思的,spark,storm 都有一個很有意思的功能,可以遠端提交程式碼,瞭解了一番,storm是有專門的安全設定,但是在預設配置情況,nimubs的6627埠是對外開放,若是該埠可任意訪問,那我們就可以在任意地方給nimbus 提交程式碼,然後實現遠端命令執行。
臨時翻看了一些關於storm 的資料,若有錯誤,望大神們多多指導。下面是我對strom 實現遠端命令執行的一些思路及本地實踐。
>>>> >>>> 提前條件<<<< <<<<
1、nimbus 的6627埠可以訪問。
>>>> >>>> 步驟<<<< <<<<
1、打包jar包
2、透過storm 客戶端將jar包上傳到nimbus
3、透過 web ui 觀察命令執行情況
>>>> >>>> 執行命令程式碼<<<< <<
>>>> >>>> 上傳jar 包<<<< <<<<
在storm ui上可以看到剛上傳的Topology
稍等片刻就可以在storm ui 的日誌裡面看到命令執行的結果
>>>> >>>> 總結 <<<< <<<<
Storm 遠端提交程式碼給開發人員提供便利的同時,但若部署時配置不當,不做訪問限制,就很容易給叢集帶來風險。類似的安全問題還有redis、memcache等,很多都是因為該服務部署時缺少安全意識未作訪問限制也沒做許可權限制,導致該服務可任意訪問使用。那駭客們也就可以隨意利用了。
本文轉載自微信公眾號“新浪安全中心”,原文作者: 浪劍楓
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2199828/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Storm大資料位置ORM大資料
- 大資料6.1 - 實時分析(storm和kafka)大資料ORMKafka
- 上海寶付大資料分析storm結合大資料ORM
- 大資料專案實踐(一)——之HDFS叢集配置大資料
- 資料治理之後設資料管理實踐
- PHP最佳實踐之資料庫PHP資料庫
- 大資料框架對比 - Hadoop、Spark、Storm、Samza、Spark、Flink大資料框架HadoopSparkORM
- Flume 在有贊大資料的實踐大資料
- 阿里巴巴資深大資料工程師:大資料處理實踐阿里大資料工程師
- DataPipeline在大資料平臺的資料流實踐API大資料
- 使用Storm、Kafka和ElasticSearch處理實時資料 -javacodegeeksORMKafkaElasticsearchJava
- Restcloud ETl實踐之資料行列轉換RESTCloud
- 大資料教程分享實用的大資料之陣列大資料陣列
- 小米大資料儲存服務的資料治理實踐大資料
- 大資料Storm相比於Spark、Hadoop有哪些優勢(摘錄)大資料ORMSparkHadoop
- 大資料儲存平臺之異構儲存實踐深度解讀大資料
- 實時工業大資料產品實踐——上汽集團資料湖大資料
- 大資料專案實踐(五)——Hue安裝大資料
- 美圖大資料平臺架構實踐大資料架構
- 泰康保險大資料應用實踐分享大資料
- 乾貨:PHP與大資料開發實踐PHP大資料
- ClickHouse在大資料領域應用實踐大資料
- 連載:阿里巴巴大資料實踐—資料建模綜述阿里大資料
- 案例|政務大資料平臺資料安全建設實踐大資料
- 好程式設計師大資料學習筆記:Storm架構程式設計師大資料筆記ORM架構
- 大資料:美團酒旅實時資料規則引擎應用實踐大資料
- 基於雲原生的大資料實時分析方案實踐大資料
- Restcloud ETL實踐之Excel檔案資料採集RESTCloudExcel
- Serverless 在大規模資料處理的實踐Server
- JuiceFS 在大搜車資料平臺的實踐UI
- 大資料資產管理在騰訊遊戲的實踐大資料遊戲
- Hbase迎接電信TB級大資料洗禮之熱點網站功能實踐大資料網站
- 松柏之志,下聚百川-松下中國阿里雲大資料實踐阿里大資料
- Hadoop大資料實戰系列文章之HiveHadoop大資料Hive
- Hadoop大資料實戰系列文章之ZookeeperHadoop大資料
- Hadoop大資料實戰系列文章之HBaseHadoop大資料
- 從Storm到Flink,有贊五年實時計算效率提升實踐ORM
- RestCloud ETL實踐之無標識位實現增量資料同步RESTCloud