zeppelin 的 CORS 信任任意来源漏洞处理

最新推荐文章于 2025-08-14 11:52:26 发布
最新推荐文章于 2025-08-14 11:52:26 发布
阅读量766 收藏 7
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 大数据组件 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nicoleyuan666/article/details/135711756
本文介绍了如何通过在服务器端配置CORS响应头来处理跨域请求,提到一种针对Zeppelin的漏洞利用方法,即修改`zeppelin.sqinerver.allowed.origins`配置,然后重启服务并验证效果。最后指出此方法实测可行但存在安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CORS通过在服务器端设置响应头来进行配置。当浏览器发起跨域请求时,
服务器可以通过设置特定的CORS响应头来告知浏览器是否允许该请求,可以在配置文件中修改Access-Control-Allow-Origin参数

针对这种漏洞,直接修改配置文件中的“zeppelin.sqinerver.allowed.origins”的值

1 修改zeppelin的配置文件

将这个值修改为<value>Null</value>或者改成<value>http://ip:port</value>

注:ip:port   ip为服务所在ip 以及 port 所使用服务端口

2 重启服务

验证登录成功

3 重新扫描,扫不到此漏洞

亲测,有效

Apache Zeppelin 命令执行漏洞复现(CVE-2024-31861)
0xSec
04-15 2356
Apache Zeppelin 中代码生成控制不当(“代码注入”)漏洞。攻击者可以使用 Shell解释器作为代码生成网关,系统org.apache.zeppelin.shell.ShellInterpreter类直接调用/sh来执行命令,没有进行过滤,导致RCE漏洞
Zeppelin【部署 01】Zeppelin最新版本zeppelin-0.10.1下载安装配置启动及问题处理(一篇学会部署Zeppelin
Java与大数据相关实践内容分享!
08-02 777
Zeppelin最新版本zeppelin-0.10.1下载安装配置启动及问题处理(一篇学会部署Zeppelin
CORS漏洞利用检测和利用方式
weixin_30245867的博客
07-21 5948
  CORS全称Cross-Origin Resource Sharing, 跨域资源共享,是HTML5的一个新特性,已被所有浏览器支持,不同于古老的jsonp只能get请求。 检测方式:   1.curl访问网站     curl https://www.huasec.com -H "Origin: https://test.com" -I   检查返回包的 Access-C...
网络安全-记录web漏洞修复
孙霸天的专栏
07-05 4510
最近政府部门都在组织网络系统安全检测,我们公司开发的某一个系统前端也被检出了漏洞,需要解决一下前端使用vue框架开发,使用nginx进行部署如图所示总共被扫描出了八个漏洞,其中两个中度危险可能造成用户信息被窃取,攻击者可以构造其他站点,通过跨域资源访问的形式,读取用户在本站点上的任意信息;攻击者可以通过一连串的跨域资源访问请求,伪造用户的身份私自操作本站点的内容。漏洞未修复前,请求响应如下这里是由于我nginx配置了允许跨域请求,默认nginx是不允许错误配置如下 修改配置如下 修改后如下这是因为我们在vu
CORS跨域漏洞
weixin_46627652的博客
04-20 5656
Web服务端CORS(跨域资源共享)错误配置,无法正确验证Origin头,任何网站都可以发出使用用户凭据发出的请求,并读取对这些请求的响应,信任任意来源可以有效地禁用同源策略,从而允许第三方网站进行双向交互,易导致敏感信息泄露。抓取上述漏洞地址的请求包,构造Origin字段,并将Origin头参数值设为恶意域名,服务端返回的Access-Control-Allow-Origin字段值为修改的恶意域名,判断服务端并未正确处理跨域请求。(1)如果没有必要就不要开启CORS。(2)严格限制域白名单,而不是使用*
CORS漏洞
秋水的博客
09-20 7089
CORS简介 什么是CORSCORS是一个w3c标准、全称是"跨域资源共享"(Cross-origin resource sharing) 因为出于安全的考虑, 浏览器不允许Ajax调用当前源之外的资源.,即浏览器的同源策略 但一个请求url的协议、域名、端口三者之间任意一个与当前页面不同即为跨域、它允许阅览器向跨源服务器发送XMLHttpRequest请求,从而克服AJAX只能同源...
Web漏洞CORS跨域资源共享漏洞
Butterfly0011的博客
03-12 4673
文章目录CORS跨域资源共享简单跨域请求非简单请求CORS安全问题CORS漏洞的利用 有关于浏览器的同源策略和如何跨域获取资源,传送门 -->浏览器同源策略和跨域的实现方法 同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从...
安全漏洞CORS(跨域资源共享)
weixin_42925623的博客
11-22 3433
安全漏洞CORS(跨域资源共享)
CORS跨域资源共享漏洞的复现、分析、利用及修复过程
Innocence_0的博客
02-02 3774
CORS跨域资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,
Apache Zeppelin 未授权任意命令执行.md
04-12
Apache Zeppelin 未授权任意命令执行
Zeppelin原理简介
01-27
后台支持接入多种数据处理引擎,如spark,hive等。支持多种语言: Scala(ApacheSpark)、Python(ApacheSpark)、SparkSQL、 Hive、Markdown、Shell等。本文主要介绍Zeppelin中Interpreter和SparkInterpreter的实现原理...
虚拟机zeppelin安装
10-18
Apache Zeppelin则是一个交互式数据分析工作台,它提供了丰富的数据可视化和协作功能,常用于大数据处理和分析。在本教程中,我们将深入探讨如何在虚拟机上安装Apache Zeppelin。 首先,让我们了解什么是Apache ...
Cors漏洞详解
Askshhbs的博客
04-26 1万+
Cors介绍 Cors全称"跨域资源共享"(Cross-origin resource sharing),Cors的出现是用来弥补SOP(同源策略)的不足。在当时SOP有些限制了网页的业务需求,不能够使不同域的网页互相访问,因此提出了Cors:用于绕过SOP(同源策略)来实现跨域资源访问的一种技术。 Cors漏洞就是攻击者利用Cors技术来获取用户的敏感数据,从而导致用户敏感信息泄露。 漏洞原理 Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三
CORS跨域访问漏洞
m0_73896875的博客
07-13 6676
全称是“跨域资源访问共享”(Cross-Origin Resource Sharing),是一种用于解决跨域资源访问限制的机制。它允许在浏览器中进行跨域请求,并控制跨域请求的安全性。同源策略(Same-Origin Policy)是浏览器的一种安全策略,它要求在访问资源时,请求的域名、协议和端口必须与资源所在的域名、协议和端口完全匹配。如果两个资源的域名、协议和端口不匹配,浏览器会限制跨域请求,并阻止脚本访问返回的响应数据。CORS 提供了一种机制,允许服务器端声明它所支持的跨域请求。
CORS(跨域资源共享)漏洞解决方法
热门推荐
BHSZZY的博客
07-23 3万+
最近,测试环境上的项目被360测试人员检测出来有一个CORS漏洞,以下记录下漏洞问题与解决方法。 一、低危漏洞CORS漏洞问题 测试人员访问某个url,将请求头中的Origin字段修改为任意值,结果仍然能获得正确的响应报文,就说明有CORS漏洞。 当CORS的设置不正确时,就会带来安全问题;当响应头中的Access-Control-Allow-Origin设置为null或*时,表示信任任何域,这时候就可能引入安全问题。 修复方法是合理配置CORS,判断Origin是否合法;具体说就是不让在nginx或t
Cors漏洞
saber的博客
10-30 737
Cors漏洞就是攻击者利用Cors技术来获取用户的敏感数据,从而导致用户敏感信息泄露;Cors请求可分为两类
SRC | CORS跨资源共享漏洞
zkaqlaoniao的博客
11-06 676
如果目标存在CORS跨资源共享漏洞,对方管理员在没有退出自己所管理的网站的情况下,点击恶意攻击者已经构造好的恶意网站,攻击者可以修改Origin字段为任意指定的值,实现绕过浏览器同源策略的限制,基于CORS漏洞发起恶意请求,实现对目标资源的恶意跨域访问,并读取服务器的响应结果,从而造成服务器的信息泄露。Access-Control-Allow-Origin:指定允许访问该资源的源。Access-Control-Max-Age:指定预检请求(OPTIONS)的有效期,以减少对服务器的频繁请求。
SRC实战 | CORS跨资源共享漏洞
hackzkaq的博客
11-06 299
如果目标存在CORS跨资源共享漏洞,对方管理员在没有退出自己所管理的网站的情况下,点击恶意攻击者已经构造好的恶意网站,攻击者可以修改Origin字段为任意指定的值,实现绕过浏览器同源策略的限制,基于CORS漏洞发起恶意请求,实现对目标资源的恶意跨域访问,并读取服务器的响应结果,从而造成服务器的信息泄露。Access-Control-Allow-Origin:指定允许访问该资源的源。Access-Control-Max-Age:指定预检请求(OPTIONS)的有效期,以减少对服务器的频繁请求。
web站点安全开发】任务4:JavaScript与HTML/CSS的完美协作指南
最新发布
不羁的博客
08-14 907
本文介绍了JavaScript在前端开发中的核心作用及其与HTML、CSS的协作方式。主要内容包括:1. JavaScript语言特性,通过对比表格展示其与Java在类型系统、面向对象、执行方式等方面的本质区别;2. JavaScript在HTML中的使用方法,包括<script>标签的三种放置位置(head/body/外部文件);3. 四种常用输出方式(alert/write/innerHTML/console.log);4. 语法特性比较(变量声明、数据类型、函数定义等)等
Zeppelin文档源码解析与应用
在使用Zeppelin时,可能需要具备一定的技术背景,比如熟悉至少一种Zeppelin支持的语言(如Scala、Python等),了解大数据处理的基本概念,以及具备对数据进行分析和可视化的能力。对于数据工程师和数据科学家来说,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值