solr-web页面未授权可访问漏洞整改-身份认证授权访问

其他1年前 (2023)发布 鲸落资源
1,701 0

solr的web页面是无需授权认证即可登陆访问的,但这种情况在安全性要求较高的项目中,是有风险的,一般的渗透测试,都会发现存在这个问题,那么就需要进行整改了

1、关闭该页面(不建议,很多时候需要该页面去调试)

2、进行用户认证,授权访问

下面就只讲一下第二种方法(亲测)

一、找到solr部署安装路径,并修改一下三个路径下的三个文件

solr-web页面未授权可访问漏洞整改-身份认证授权访问

①在/server/etc 文件夹下创建一个*.properties文件名称(名称可以自己定),我用的是verify.properties

添加内容:

test:888888,admin

注释:test登陆账号,888888密码,admin 表示当前用户授权的是admin 角色,这里用户可以配置多个账号(每行一个)

②在/server/contexts 文件夹下添加以下内容,并将文件名设置为:solr-jetty-context.xml(有可能已存在该文件,可直接编辑修改(添加至尾部即可))

<Get name=”securityHandler”>
<Set name=”loginService”>
<New class=”org.eclipse.jetty.security.HashLoginService”>
<Set name=”name”>verify—name</Set>
<Set name=”config”><SystemProperty name=”jetty.home” default=”.”/>/etc/verify.properties</Set>
</New>
</Set>
</Get>

如图所示:

solr-web页面未授权可访问漏洞整改-身份认证授权访问

③在/server/solr-webapp/webapp/WEB-INF路径下修改web.xml文件(尾部添加以下内容)

 

<security-constraint>
<web-resource-collection>
<web-resource-name>Solr</web-resource-name>
<url-pattern>/</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>verify-name</realm-name>
</login-config>

如图所示:

solr-web页面未授权可访问漏洞整改-身份认证授权访问

④修改完成后,重启solr服务,并访问solr web页面,将会弹出登陆弹框

注意:①重启solr服务

②清理浏览器缓存

© 版权声明

相关文章

广告也精彩

暂无评论

暂无评论...