OLLAMA 未授权访问-漏洞挖掘

1.漏洞描述

Ollama存在未授权访问漏洞。由于Ollama默认未设置身份验证和访问控制功能,未经授权的攻击者可在远程条件下调用Ollama服务接口,执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。未设置身份验证和访问控制功能且暴露在公共互联网上的Ollama易受此漏洞攻击影响。

2.FOFA

app="Ollama"

3.POC验证

4.修复建议

1.限制OLLAMA监听范围‌:仅允许11434端口本地访问,并验证端口状态。这样可以有效防止未授权访问‌。

2.配置防火墙规则‌:对公网接口实施双向端口过滤,阻断11434端口的出入站流量。防火墙是保护网络安全的重要屏障,应充分发挥其作用‌。

3.实施多层认证与访问控制‌:启用API密钥管理,定期更换密钥并限制调用频率。部署IP白名单或零信任架构,仅授权可信设备访问。这两项措施有助于提升系统的安全性,防止未经授权的访问和攻击‌。

相关推荐
qr9j422331 小时前
Django自带的Admin后台中如何获取当前登录用户
数据库·django·sqlite
cherry52301 小时前
【PostgreSQL】【第4章】PostgreSQL的事务
数据库·postgresql
IT成长日记5 小时前
【MySQL基础】聚合函数从基础使用到高级分组过滤
数据库·mysql·聚合函数
Guarding and trust7 小时前
python系统之综合案例:用python打造智能诗词生成助手
服务器·数据库·python
夜间出没的AGUI7 小时前
SQLiteBrowser 的详细说明,内容结构清晰,涵盖核心功能、使用场景及实用技巧
数据库
不再幻想,脚踏实地8 小时前
MySQL(一)
java·数据库·mysql
Tyler先森9 小时前
Oracle数据库数据编程SQL<3.5 PL/SQL 存储过程(Procedure)>
数据库·sql·oracle
KevinRay_10 小时前
从零开始学习SQL
数据库·学习·mysql
Json_1817901448010 小时前
python采集淘宝拍立淘按图搜索API接口,json数据示例参考
服务器·前端·数据库