保護未受保護的 Selenium Grid 免於 SeleniumGreed 的攻擊
由於目前針對 Selenium Grid 的 SeleniumGreed 攻擊事件持續發生,我們建議您保持 Grid 的安全性。
分類
在過去一週,有報導指出加密貨幣礦工濫用未受保護的 Selenium Grid,透過在會話建立時注入程式碼來下載並啟動加密貨幣礦工。這要歸功於 Wiz 針對他們稱之為 SeleniumGreed 的攻擊所做的研究。這個問題在大多數 Selenium 版本上都可能被濫用,但似乎有很多人力投入濫用 Selenium Grid 3.14。請升級,因為自那時以來已新增了一些安全性項目。
預設情況下,Selenium Grid 沒有任何身份驗證,因為一直以來的假設是我們希望您將其置於安全的網路之後,以防止人們濫用您的資源。您可以透過一些方法來保護 Grid 的安全,我們在說明章節中提供了關於如何執行此操作的文件。如果您執行以下命令,可以看到更多詳細資訊
java -jar selenium-server-<version>.jar info security
另一種應對方法是使用雲端供應商來運行您的 Selenium Grid。我們有許多供應商贊助我們,因此請查看我們的贊助商頁面。如果您在閱讀說明章節後需要協助,請加入我們的聊天室,我們將盡力引導您使您的 Grid 更加安全。
