Apache Solr 命令
Apache Solr commands
好的,伙计们,我做了什么我用防火墙保护了管理员/路径user/password
所以直到这里一切都很好。
但我想继续搜索public但我要问你专家,
如果有人可以使用这些链接 query?q 和 select?q
进行一些注入或攻击代码
或仅用于搜索,无所畏惧!!
http://localhost:8983/solr/core/query
http://localhost:8983/solr/core/select
除
外,核心中是否还使用了任何其他命令
query
select
update/
schema
谢谢!
如果您要向 public 公开查询接口,我不建议公开 Solr URL,我宁愿通过代理的客户端应用程序(如 Shadif 建议的那样)来公开Solr 并清理用户输入参数。
恶意用户可以通过多种方式提交值以使 Solr 执行您可能不想执行的操作。这个 GitHub repo 有一个很好的列表可能的攻击,你可以看到:https://github.com/veracode-research/solr-injection
好的,伙计们,我做了什么我用防火墙保护了管理员/路径user/password 所以直到这里一切都很好。
但我想继续搜索public但我要问你专家,
如果有人可以使用这些链接 query?q 和 select?q
进行一些注入或攻击代码或仅用于搜索,无所畏惧!!
http://localhost:8983/solr/core/query
http://localhost:8983/solr/core/select
除
外,核心中是否还使用了任何其他命令query
select
update/
schema
谢谢!
如果您要向 public 公开查询接口,我不建议公开 Solr URL,我宁愿通过代理的客户端应用程序(如 Shadif 建议的那样)来公开Solr 并清理用户输入参数。
恶意用户可以通过多种方式提交值以使 Solr 执行您可能不想执行的操作。这个 GitHub repo 有一个很好的列表可能的攻击,你可以看到:https://github.com/veracode-research/solr-injection