文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

Hadoop Yarn REST API未授权漏洞利用挖矿分析

一、背景情况 5月5日腾讯云安全曾针对攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码的安全问题进行预警,在预警的前后我们曾多次捕获相关的攻击案例...YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,REST API将会开放在公网导致未授权访问的问题,那么任何黑客则就均可利用其进行远程命令执行...更多漏洞详情可以参考 http://bbs.qcloud.com/thread-50090-1-1.html 三、入侵分析 在本次分析的案例中,受害机器部署有Hadoop YARN,并且存在未授权访问的安全问题...,黑客直接利用开放在8088的REST API提交执行命令,来实现在服务器内下载执行.sh脚本,从而再进一步下载启动挖矿程序达到挖矿的目的。

4.9K60
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    除了Shopify还有哪些好用的独立站建站工具?

    技术架构创新 Saleor基于Python和GraphQL开发,API响应速度比传统REST快3倍,适合高并发场景(如秒杀活动)。...二、核心功能对比矩阵维度WooCommerceBigCommerceFixonMagento品推建站系统多渠道销售需插件扩展原生支持亚马逊/FB需插件扩展需API对接专注独立站支付集成50+第三方支付20...品推建站系统的"海关数据看板"可实时显示目标市场税率、清关要求,降低外贸合规风险 Saleor的GraphQL架构使单次API请求可获取商品、库存、促销信息,减少80%的数据请求量三、成本与扩展性对比费用结构...) B2B企业 中小型:Shift4Shop(内置报价系统)或WooCommerce(会员等级管理) 大型:Magento(多商家市场功能)或Saleor(API级权限控制)五、未来趋势与选择建议技术演进方向...而传统巨头如BigCommerce和Magento仍保持企业级市场的统治地位。

    1.7K00

    CVE-2025-54236|Adobe Commerce存在安全绕过漏洞(POC)

    0x00 前言 Adobe Commerce(原Magento)是Adobe公司推出的企业级云原生电商平台,专为B2B和B2C企业设计,提供端到端的数字商务解决方案。...该平台以API优先的架构和可组合式开发模式为核心,支持与700多个第三方系统(如ERP、CRM)的预建集成,显著降低开发成本。...0x01 漏洞描述 漏洞针对Magento的WebAPI ServiceInputProcessor组件,通过恶意输入处理可劫持用户会话或操纵敏感数据。...0x02 CVE编号 CVE-2025-54236 0x03 影响版本 Adobe Commerce(所有部署方式): 2.4.9-alpha2及更早版本 2.4.8-p2及更早版本 2.4.7-p7及更早版本...及更早版本 Adobe Commerce B2B: 1.5.3-alpha2及更早版本 1.5.2-p2及更早版本 1.4.2-p7及更早版本 1.3.4-p14及更早版本 1.3.3-p15及更早版本 Magento

    22010

    ApacheCN PHP 译文集 20211101 更新

    入门指南 零、序言 一、PHP 入门 二、数组和循环 三、函数和类 四、数据操作 五、构建 PHP Web 应用 六、搭建 PHP 框架 七、认证与用户管理 八、建立联系人管理系统 使用 PHP7 构建 REST...RESTful 端点 四、审查设计缺陷和安全威胁 五、使用 Composer 加载并解析,这是一种进化 六、用 Lumen 照亮 RESTful Web 服务 七、改进 restfulweb 服务 八、API...领域 六、突出的面向对象特性 七、优化以获得高性能 八、无服务器 九、反应式编程 十、通用设计模式 十一、构建服务 十二、使用数据库 十三、解决依赖关系 十四、使用包 十五、测试重要位置 十六、调试、跟踪和分析...Symfony2 支持 九、附录 B:NetBeans 键盘快捷键 十、附录 C:突击测验答案 Apache Solr PHP 集成 零、序言 一、安装和集成 Solr 和 PHP 二、从 Solr 插入、更新和删除文档...PHP 开发指南 零、序言 一、了解和建立我们的开发环境 二、开发人员的 Magento 基础知识 三、ORM 和数据收集 四、前端开发 五、后端开发 六、Magento API 七、测试和质量保证

    4.6K10

    安全攻城狮的大救星 | Savio-渗透测试报告自动生成工具

    系统框架 l前端:Ant Design Pro l后端:Django REST Framework l数据库:Mysql 主要功能 l用户管理:主要是方便统计漏洞的发现者,后续可能大概也许会添加漏洞统计模块...当然您也可以根据自己的需求进行模板自定义,其中仅需在WORD模板中进行参数替换,目前Savior中具体参数如下: - {{report_no}} - 漏洞编号,通过时间戳自动生成,确保漏洞编号的唯一性...注:未提交前请勿刷新页面,此时漏洞详情保存为前端。提交后会自动生成渗透测试报告并进行下载。...打开报告会提示更新域,更新请选择是,再选择更新整个目录,此问题主要是为了更新目录,不然渗透测试报告中目录无法自动更新。...其中漏洞包含三个状态(新发现、已修复、未修复) 通过选择导出数据功能,可将漏洞列表导出为Excle。

    1.5K30

    Artifactory清理未使用的二进制品的最佳实践

    支持六种存储库类型的“最大唯一快照”标记: – Maven – NuGet – Gradle –Ivy – Docker – SBT Artifactory使用Artifactory Layout系统跟踪快照的数量...例如,此Maven JAR文件被识别为快照运行编号3的一部分: jfrog / hello / 1.0.5-SNAPSHOT / hello-1.0.5-20190620.224837-3.jar...要在Artifactory中启用此功能,请更新本地存储库设置: 2.png 启用此设置后,在“最大唯一快照数”上方进行的上传将在下次构建运行期间删除所有较早的发行版。...- AQL清理: https://jfrog.com/blog/advanced-cleanup-using-artifactory-query-language-aql/ -清理已有数据:通过 Rest...API 清理 90 天内无人下载的 snapshot,或者是 90 天以前的所有 snapshot,这样能够大大减少存储量,加快索引速度。

    4.3K00

    salesforce零基础学习(八十五)streaming api 简单使用(接近实时获取你需要跟踪的数据的更新消息状态)

    Streaming API参考链接: https://trailhead.salesforce.com/en/modules/api_basics/units/api_basics_streaming...使用Streaming API可以减少不必要的API请求。...cometd 参考链接: https://docs.cometd.org/ 如果想使用Streaming API,需要enable api的权限以及streaming api的权限 想要接受通知(notifications...在36.0及以前,他不包含客户端的状态,也没法跟踪已经过去的事件信息。...一条记录有可能出现增删改等很多的事件,每一个广播事件通过replayId作为编号,replayId在org和渠道中是唯一的,即使事件被删除后,此事件对应的replayId也不会被重用,订阅者可以通过赋值

    2.2K80

    常用的订单管理软件哪个好?

    例如,与物流服务集成后,系统可自动获取物流单号并更新订单的物流状态,方便商家和客户跟踪订单配送情况。...同时,Magento提供全面的数据分析和报告功能,企业可通过这些功能实时监控销售业绩、库存状况,及时调整经营策略,以适应市场变化。...在后台管理中,订单跟踪和管理操作简单直观,企业能够高效地处理订单,提高运营效率。此外,WooCommerce支持多语言和多货币,便于企业开展国际化业务。...同时,它整合了主流物流公司的API,可自动计算运费并匹配最优物流方案,降低物流成本。此外,Zoho Inventory还提供客户自助门户,客户可在线查看订单状态、发起退换货等操作,提升客户服务体验。...同时,Shopify、Magento、WooCommerce、Zoho Inventory等软件也各具特色,能够满足不同企业规模、行业特点和业务需求。

    42910

    腾讯安全威胁情报中心推出2024年5月必修安全漏洞清单

    API 未授权访问漏洞 六、Google Chrome V8越界写入漏洞 七、Git 远程代码执行漏洞 ‍‍‍ 漏洞介绍及修复建议详见后文 一、Confluence Data Center and Server...五、Apache ActiveMQ Jolokia REST API 未授权访问漏洞 概述: 腾讯安全近期监测到Apache官方发布了关于ActiveMQ的风险公告,漏洞编号为 (CVE编号:CVE-2024...据描述,该漏洞源于ActiveMQ未对 Jolokia JMX REST API 和 Message REST API 添加身份校验,攻击者可能在未经身份验证的情况下使用Jolokia JMX REST...API与代理交互,或使用Message REST API向消息队列和主题中发送消息、接收消息、删除消息队列和主题等。...临时缓解方案 更新conf/jetty.xml配置文件,增加身份验证校验: <bean id="securityConstraintMapping" class="org.eclipse.jetty.security.ConstraintMapping

    1.1K20

    建议看看这篇RestFul API简明教程!

    如果还是不能继续理解,请继续往下看,相信下面的讲解一定能让你理解到底啥是 REST 。...举个例子:PUT /classs/12(更新编号为 12 的班级) DELETE :从服务器删除特定的资源。...举个例子:DELETE /classs/12(删除编号为 12 的班级) PATCH :更新服务器上的资源(客户端提供更改的属性,可以看做作是部分更新),使用的比较少,这里就不举例子了。...因为 REST 中的资源往往和数据库中的表对应,而数据库中的表都是同种记录的"集合"(collection)。如果 API 调用并不涉及资源(如计算,翻译等操作)的话,可以用动词。...状态码范围: 2xx:成功 3xx:重定向 4xx:客户端错误 5xx:服务器错误 200 成功 301 永久重定向 400 错误请求 500 服务器错误 201 创建 304 资源未修改 401 未授权

    1.1K20

    规则引擎集成新的可观测性框架

    此外,EMQX Cloud 在订阅渠道、部署地区、操作体验等方面均有更新。EMQX产品质量提升在过去的 10 月,EMQX 团队的工作重点是提升所有支持版本的产品质量。...QUIC 更新quicer 中多条流(Stream)传输的开发工作已经接近尾声,经过一些调整后我们会将其引入 EMQX 以及 EMQ 开发的 Erlang 客户端库 emqtt。...用户体验改进我们改进了用于消息发布的 REST API,使其更成熟稳定。我们已经开始了一个针对 REST API 的专项行动,旨在为用户提供一致的 REST API 体验并解决其中不合理的设计。...macOS 用户的使用体验也得到了进一步改善——当用户运行 EMQX 时,系统不会再发出未签名警告。...此外,我们使用更易扩展的方式来跟踪版本更新日志,每次版本发布将创建 2 个独立的更新日志文件,分别对应英文版和中文版,而不是一个巨大的 CHANGELOG.md 文件。

    71050

    谈谈surging 微服务引擎 2.0的链路跟踪和其它新增功能

    初始版本诞生于2017年6月份,经过NCC社区二年的孵化,2.0版本将在2019年08月28日进行发布,经历二年的发展,已经全部攘括了微服务架构的技术栈,覆盖了从服务注册、服务发现、中间件、协议主机再到链路跟踪...二、服务调用链路跟踪 链路跟踪集成了Skywalking, 参考了SkyAPM-dotnet 而扩展的Surging.Apm.Skywalking引擎组件,而2.0版本只实现rpc 和rest 调用进行链路跟踪...通过配置HttpPost ,HttpPut , HttpDelete 和 HttpGet就能配置rest的请求方式,如果不配置,所有请求都支持。...("api/{Service}")] //[ServiceBundle("api/{Service}/{Method}/test")] //[ServiceBundle("api/{Service}/{...IUserService: IServiceKey { /// /// 判断是否存在 /// /// 用户编号

    71240

    REST 架构-架构快速进阶教程

    简介 REST 是一种软件架构风格,它依赖于描述如何定义和访问资源的规则。很难想象没有RESTful API的现代互联网。在本文中,我们将深入探讨 REST 和相关 HTTP 概念。 2....因此,它导致 API 的可用性更高。 可缓存性。服务器的响应应提供有关是否应缓存以及缓存时间的信息。缓存更新的数据很少能提高性能并消除冗余的客户端-服务器交互。 分层系统。...它用于更新现有资源。它用传输的数据覆盖整个资源。PUT与POST不同的主要属性是PUT是一个幂等操作。这意味着多次使用相同的数据调用 PUT 将始终给出相同的结果。它没有任何副作用。...还有其他方法,有时可以使用:补丁,头,选项,连接和跟踪。虽然,很少使用,我们不会在本文中介绍它们。 3.2. 代码 HTTP 响应附带响应代码。它通知操作的结果。...5xx- 服务器错误 – 通知服务器端发生错误,例如,500 – 内部服务器错误,501 – 未实现 4.

    29210

    9月重点关注这些API漏洞

    Hadoop Yarn资源管理系统REST API未授权访问漏洞漏洞详情:Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapReduce 算法进行分布式处理,Yarn是Hadoop...攻击者无需认证即可通过REST API部署任务来执行任意指令,最终完全控制服务器。...攻击者可以向Yarn的ResourceManager(资源管理器)组件发送未认证的REST API请求,利用此漏洞操纵集群资源和运行作业,可能导致敏感数据泄露,如用户凭据、Hadoop 集群的配置信息等...• 配置合适的防火墙规则以阻止未经授权的外部访问Hadoop Yarn集群和REST API接口。...No.3 JumpServer未授权访问漏洞漏洞详情:9月19日,JumpServer发布了JumpServer的风险通告,漏洞编号为CVE-2023-42442。

    1K10

    微服务的10个挑战和解决方案

    目前,微服务架构尚未成熟到足以完全解决所有现有挑战,但是,开源社区和IT产品公司正试图解决所有这些未解决的问题。关于这一主题的所有新研究都是基于寻找新挑战的解决方案。...3.版本控制  – 这将由API注册表和发现API使用动态Swagger API处理,动态Swagger API可以动态更新并与服务器上的使用者共享。 4. ...5.数据过期 –  应始终更新数据库以提供最新数据。API将从最近更新的数据库中获取数据。还可以为数据库中的每个记录添加时间戳条目,以检查和验证最近的数据。...客户端可以在标头中为REST API提供关联ID,以跟踪所有pod / Docker容器中的相关日志。此外,可以使用IDE或检查日志在每个微服务上单独完成本地调试。...7.测试 –  可以通过模拟REST API或集成/依赖API来解决此问题,这些API不可用于使用WireMock,BDD,Cucumber,集成测试,使用JMeter进行性能测试以及任何良好的分析工具

    2.3K10

    Composer新增安全功能解析:打造更可靠的PHP依赖管理

    依赖混淆威胁可以让恶意包悄悄混入你的项目,未授权的插件可能在你的系统上执行任意代码,而你不知道某个依赖是否已存在已知安全隐患。...针对这一问题,社区提供了专门的防护插件 magento/composer-dependency-version-audit-plugin。安装后,该插件会自动检测并阻止这类恶意行为。...安装非常简单: composer require magento/composer-dependency-version-audit-plugin 当检测到潜在风险时,该插件会中止Composer操作并输出明确的警告信息...composer audit 命令现在提供了更详细的风险报告,包括CVE编号、严重等级和修复建议。...建议定期执行: # 更新Composer自身 composer self-update # 查看当前版本 composer --version 对于项目依赖,采取审慎的更新策略: # 只更新单个有安全问题的包

    17710
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券