solr鉴权(真不介意使用)
开篇我只想说,solr是真tm垃圾,我接手项目后只知道有solr这么个东西,有api操作所以没有深入了解,直到最近有安全评级,把xss修复后,看到最后一条。solr可以直接通过外网访问??????
What the hell is this,一个这么多年的搜索引擎没有权限控制。好以为是个小事,找了一下资料发现solr的文章时真少,鉴权就更少。而且我真的想吐槽那些机翻官网的沙雕,不懂你就别tm写。后面我直接看官方文档,
鉴权用插件,我忍了,直到我看到这个破文档
我就很想问,这个盐在哪里,我看了半天api只有个
我曾一度怀疑这个文件里面的是个盐渍还是个密码,无语。我对着这个东西研究接近两个小时。我是真的怀疑人生了,es不香吗,用恁奶奶个腿的solr,就真一把梭了,数据搞上去大家公共访问。
后面我看到原来淘宝当年solr也是暴露在公网
然后我下载了solr源码
我还是看源码,准备一探究竟,这个源码下了我半个小时,到这里我想的最多的就是砍死这个写文档的。
你写的那个salt到底是个啥,我还得sha256加密后写配置文件里面,你倒是告诉我是个啥啊,你妈妈没教你不要骗人吗
我打开源码
我抽完这根烟就整把ak崩了你
然后我看到了这个东西
这是个salt,还真是(password+salt),我tm
然后我按他的加密了一遍
真的,以后写文档的大哥们,就当我是个智障,降维到幼儿园行吗