安志合的学习博客
·
NPS服务端未授权访问控制台越权漏洞修复
💡
原文中文,约2300字,阅读约需6分钟。
📝
内容提要
NPS是一款内网穿透代理服务器,支持多种流量转发,有强大的web管理端。最新版本修复了越权漏洞,建议用户尽快采取修复措施。
🎯
关键要点
- nps是一款轻量级、高性能的内网穿透代理服务器,支持多种流量转发。
- nps的官方版本三年前停止维护,建议新用户使用最新维护分支。
- nps存在身份验证缺陷,存在越权漏洞,攻击者可绕过登录访问控制台。
- 该漏洞已被武器化,可能造成大范围影响。
- 修复方案包括更新至兼容的漏洞修复版、修改配置文件、同时保留并修改两个密钥。
❓
延伸问答
NPS是什么?
NPS是一款轻量级、高性能的内网穿透代理服务器,支持多种流量转发。
NPS的越权漏洞是什么?
NPS存在身份验证缺陷,攻击者可通过特殊构造的URL绕过登录,未授权访问控制台。
如何修复NPS的越权漏洞?
修复方案包括更新至兼容的漏洞修复版、修改配置文件、同时保留并修改两个密钥。
为什么建议新用户使用NPS的最新维护分支?
因为NPS的官方版本三年前停止维护,最新维护分支修复了已知漏洞,提供更好的安全性。
NPS的越权漏洞可能造成什么影响?
该漏洞已被武器化,可能造成大范围影响,攻击者可以利用它进行未授权操作。
NPS的配置文件应该如何修改以增强安全性?
应注释auth_crypt_key,取消注释并修改auth_key为随机性强的密码,或同时保留并修改两个密钥。
➡️
