Nacos未授权访问漏洞1.漏洞描述 Nacos 是阿里巴巴推出来的一个新开源项目，是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集，可以快速实现动态服务发现、服务配置、服务元数据及流量管理。 该漏洞发生在nacos在进行认证授权操作时，会判断请求的user-agent是否为”Nacos-Server”，如果

广州 安恒 中高级渗透测试工程师面试分享所面试的公司：安恒薪资待遇：14k，13薪、双休所在城市：广州面试职位：中高级渗透测试工程师面试过程：平常主要做web/APP渗透这块，也有几年工作经验，也做过红蓝攻防，这次面试也是重点考察web和APP的。面试官的问题：Q1:那先简单介绍一下自己。答：省略……Q2:那么你刚才说了平时会做一个 APP 渗透，那么你可以说一下现在你要做一个 APP 渗透，

1.项目背景介绍：这个一个邮箱系统的后台管理系统，这个已经被其他不同的厂商测试的很多次了，能发现的基本都被发现了，上有领导施压，为了完成任务，硬着头皮也得要找出问题了。#CTL{\n}2.找到一个能够输出XSS语句的地方，但是并不能解析，用了HTML实体编码。#CTL{\n}#CTL{\n}![](https://nc0.cdn.zkaq.cn/md/9909/9f6a3accf8630ad8bb

## 不多比比，直接进入正题#CTL{\n}1.看到可以插入链接，想到<a href="alert(1)">#CTL{\n}#CTL{\n}#CTL{\n}2.但是经过测试发现j