因此，由于Marathon是Apache mesos的一个编排平台，这意味着用户可以根据自己的需要安排要执行的任务，就像执行一条条简单的bash命令(类似于cronjobs这样的命令) 。

漏洞复现

某天，当我在Shodan搜索东西时，由于之前的项目需要，我必须要自己架设一些Marathon/Mesos/Spark之类的实例，所以我就自然想到了通过Shodan来看看，有哪些大公司在生产环境中部署了Marathon服务，但却未做任何访问权限验证措施的。因此，我就按照“ssl:Redacted” “X-Marathon-Leader”这样的语法，在Shodan中进行查找，最后，还真发现了一些有意思的东西，如以下两个搜索结果：

它们是访问响应状态码为HTTP/1.1 200 OK的两个Marathon服务实例，虽然不能百分百肯定，但这种200响应码的Marathon服务， 90%的可能说明无需任何密码验证即可访问。

于是，我立即按照Shodan中的显示结果，打开了目标应用的Marathon服务链接：https://XXX.XXX.XXX.XXX/ui/#/apps ，之后就真的无需密码验证，立马就进入了Marathon的主界面，如下：