nacos-fuck — Nacos セキュリティ検出ツール

Security
nacos-fuck — Nacos セキュリティ検出ツール

nacos-fuck — Nacos セキュリティ検出ツール

本リポジトリは、Nacos に対する自動化セキュリティ検出スクリプトを提供します。Python ベースでマルチスレッド実行に対応し、弱い初期認証情報の検査、JWT による認証バイパスの痕跡検出、Derby に関連する既知の SQL インジェクションのチェック、未認可でのユーザー情報閲覧など、Nacos にありがちな複数の脆弱性カテゴリを対象とします。単一・複数ターゲットのスキャンと詳細レポート出力を想定しており、研究・教育・許可された評価向けのツールです(不正利用禁止)。(約300字)

https://github.com/tianxing226/nacos-fuck

概要

本リポジトリは Nacos 用のセキュリティ検出ツール「Nacos-fuck」を収めています。Python(3.6以上)で動作し、マルチスレッドにより単一あるいは複数ターゲットを高速にスキャンできる設計です。検出対象には初期の弱いデフォルト認証(例: nacos/nacos)、JWT に関連する認証バイパス、Derby に起因する既知の SQL インジェクション(CNVD-2020-67618 相当)、および未認可のユーザー情報参照などが含まれ、発見結果は詳細レポートとして出力されます。利用は必ず対象の明示的な許可を得た上で行うべきであり、リポジトリ内にもその旨の免責が明記されています。

GitHub

リポジトリの統計情報

  • スター数: 5
  • フォーク数: 0
  • ウォッチャー数: 5
  • コミット数: 5
  • ファイル数: 3
  • メインの言語: Python

主な特徴

  • マルチスレッド対応で単体/バッチスキャンを高速に実行
  • 弱い初期認証、JWT 関連の認証バイパス、Derby SQLi、未認可情報漏洩を検出
  • 検出結果をまとめた詳細レポートを出力(レポート形式はリポジトリ参照)
  • Python 3.6+ ベース、pip による依存管理を想定

技術的なポイント

Nacos-fuck の中核は単一の Python スクリプト(nacos-fuck.py)で、並列処理(マルチスレッド)を用いることで多数のターゲットを短時間でチェックできる設計になっています。検査ロジックは既知の脆弱性パターンに基づく非破壊的なプローブを中心にしており、例えばデフォルト認証情報の有無確認や、認証トークン周りの挙動確認、外部データベース(Derby)に関連する既知脆弱性の存在有無の検査などを行います。各チェックは成功/失敗の判定を内部ロジックで処理し、問題が検出された場合はレポートに記録されます。

依存関係は Python 3.6 以上を前提としており、README に基づけば pip を用いたライブラリ導入が必要です(README は途中で省略されていますが、HTTP クライアントや並列処理に関する標準的なライブラリが想定されます)。nacos-1.0.zip のようなアーカイブが付属している点から、検証用のサンプルや補助ファイルが含まれている可能性がありますが、実運用では実機環境に対する無許可のスキャンは法的・倫理的問題を引き起こすため厳禁です。

設計上は「発見にフォーカスした非破壊型スキャナ」であり、エクスプロイト実行や変更を加える行為は行わないことが想定されます。出力される詳細レポートは、セキュリティ評価の記録や修復対応の優先度付けに有用ですが、レポートの取り扱いにも注意が必要です。リポジトリは小規模かつシンプルで、導入や読み解きは比較的容易ですが、利用にあたっては必ず対象組織からの明示的な許可を得ること、また検査結果を第三者へ不適切に公開しないことが重要です。

プロジェクトの構成

主要なファイルとディレクトリ:

  • README.md: file
  • nacos-1.0.zip: file
  • nacos-fuck.py: file

まとめ

小規模で実用的な Nacos 向け脆弱性検出スクリプト。教育・許可済み評価向け。

リポジトリ情報: