nacos 出现严重安全漏洞，特殊 UA 可以绕过所有鉴权，有用了的小伙伴注意了……

只要指定一个特殊的 UA 就可以绕过所有鉴权。

官方不推荐这种用法，所以没有文档，建议大家别这么用。

LokiSharp

2021-01-14 13:21:27 +08:00

这不是漏洞，这是自家的后门，是特性

putaozhenhaochi

2021-01-14 13:23:05 +08:00

话说 Nacos 阿里自己用吗

mlhadoop

2021-01-14 13:23:17 +08:00

oxromantic

2021-01-14 13:30:13 +08:00

离谱到在指出这个问题时(在项目里 hardcode 一个不是强制修改且不可修改 token)，开发还依然自以为是否定安全风险，安全经验少得可怜

hand515

2021-01-14 13:51:59 +08:00

xgfan

2021-01-14 14:15:28 +08:00

前面那个 KomachiSion 简直离谱。

MeteorCat

2021-01-14 14:22:38 +08:00

直到出事了才知道肯承认是漏洞，真有你的

xiangyuecn

2021-01-14 14:25:23 +08:00

@xgfan #11 是不是也是看了想打人😂

vone

2021-01-14 14:26:26 +08:00

KomachiSion 是阿里的人吗，嘴硬的离谱 /doge 。

lewis89

2021-01-14 14:27:26 +08:00

0202 年了还有人用阿里的开源？谁用谁 SB

lewis89

2021-01-14 14:31:09 +08:00

另外微服务只有傻逼才会开端口把中间件的端口暴露到公网上去

Sum0l

2021-01-14 14:35:39 +08:00

已经修复了，自定义 user-agaent..

guisheng

2021-01-14 14:37:13 +08:00

「本来就不是给用户用的而是自己内部使用的机制，在使用文档上说明不妥。用户不知道才是正确的。」

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.