等保整改:开启Nacos认证-漏扫发现我们使用Nacos时存在未授权访问的漏洞

背景

还是之前的一个小项目，部署在专网中，等保在做了一次漏扫后，说是有个高危漏洞要求整改。打开漏洞扫描报告后，总体网络风险级别为：比较危险： nacos未授权访问漏洞 ，漏洞详细信息如下：

Nacos 未授权访问！？这还了得？？

我们知道， Nacos 结合了注册中心与配置中心，本身在进入后台管理页面时也有一个认证（当然，我们的 Nacos 部署在专网中，并修改了默认密码），这让我们误以为后续的服务注册、配置读取与更新也是开启认证的。显然这就是自以为是的想法，这就是光顾着使用技术，而没有相对深入研究导致的安全事故。其实，官方文档中明确说明： Nacos 服务端默认是不需要登录的，这样会导致配置中心对外直接暴露。

试想一下，你的服务注册、配置读取与更新接口竟然是暴露的，没有任何认证拦截的；尤其是配置中心，通过 URL 可以直接访问到完整的配置信息，甚至包括各种服务的密码信息等，就问怕不怕。。

Nacos官方文档列出了以下服务发现与配置管理的接口：

• 服务注册

这篇好文章是转载于：学新通技术网