Jupyter Notebook 未授权访问漏洞总结_jupyter notebook未授权访问漏洞[原理扫描]

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

前言

记录并自己复现下常见的未授权访问漏洞

一、Jupyter Notebook 未授权访问漏洞是什么？

Jupyter Notebook（此前被称为 IPython notebook）是一个交互式笔记本，支持运行 40 多种编程语言。

如果管理员未为Jupyter Notebook配置密码，将导致未授权访问漏洞，游客可在其中创建一个console并执行任意Python代码和命令。

二、复现

1.搭建环境

下载vulhub分别输入以下命令进行搭建环境
cd /root/vulhub/jupyter/notebook-rce
docker-compose build && docker-compose up -d

可看到成功创建

漏洞利用

在Terminal 创建控制台处可以执行任意命令

三、防御方法

-开启身份验证，防止未经授权用户访问。

-访问控制策略，限制IP访问，绑定固定IP。