Prometheus

目录

• 敏感未授权
  • /api/v1/status/config
  • /api/v1/targets
  • /api/v1/status/flags

开源的、基于指标的事件监控和警报解决方案，适用于云应用程序。它被近 800 家云原生组织使用，包括 Uber、Slack、Robinhood 等。通过从各个端点抓取实时指标

敏感未授权

/api/v1/status/config

该文件还包含目标地址和警报/发现服务以及访问它们所需的凭据。通常，Prometheus 用占位符替换凭据配置配置字段中的密码<secret>（尽管这仍然会泄漏用户名）：

/api/v1/targets

了显示目标机器地址之外，端点还公开目标提供者添加的元数据标签。这些标签旨在包含非敏感值，例如服务器的名称或其描述，但各种云平台可能会自动公开这些标签中的敏感数据，而且通常在开发人员不知情的情况下。

/api/v1/status/flags

该flags端点提供了一个完整路径的配置文件。如果文件存储在主目录中，则可能会泄漏用户名：