保护不安全的 Selenium Grid 免受 SeleniumGreed 攻击
鉴于针对 Selenium Grid 的持续攻击,名为 SeleniumGreed,我们建议您保持 Grid 的安全。
分类
上周,有关于加密货币矿工滥用不安全的 Selenium Grid 的故事流传开来,他们通过在会话创建中注入代码来下载并启动加密货币矿工。这得益于 Wiz 关于他们称之为 SeleniumGreed 的攻击的工作。这个问题在大多数版本的 Selenium 上都可能被滥用,但似乎有很多人在努力滥用 Selenium Grid 3.14。请升级,因为自那时起已添加了一些安全项。
默认情况下,Selenium Grid 没有任何身份验证,因为我们一直以来的假设是您将其置于安全的网络之后,以防止人们滥用您的资源。有一些方法可以保护 Grid,并且我们在 帮助部分 中提供了关于如何执行此操作的文档。如果运行以下命令,您可以查看更多详细信息:
java -jar selenium-server-<version>.jar info security
另一种对抗这种情况的方法是使用云提供商来运行您的 Selenium Grid。我们有许多赞助商,请查看我们的 赞助商 页面。如果您在阅读 帮助部分 后需要帮助,请加入我们的 聊天室,我们将尽力指导您使 Grid 更加安全。
