一、概述微服务架构中,API网关充当着非常重要的一环,它不仅要负责外部所有的流量接入,同时还要在网关入口处根据不同类型请求提供流量控制、日志收集、性能分析、速率限制、熔断、重试等细粒度的控制行为。AP...
APISIX 安全评估
文章首发于:火线Zone社区(https://zone.huoxian.cn/)背景有大佬已经对apisix攻击面[1]做过总结。本文记录一下自己之前的评估过程。分析过程评估哪些模块?首先我需要知道要...
漏洞复现 CVE-2021-45232 Apache APISIX Dashboard RCE
0x01 漏洞描述在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架,并在框架‘gin’的基础上引入了框架‘droplet’,所有的API和认证...
Apache APISIX Dashboard 身份验证绕过漏洞 (CVE-2021-45232)
0x00 漏洞描述Apache APISIX 是一个开源 API 网关,该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框...
API漏洞分析|Apache APISIX Dashboard高危漏洞(CVE-2021-45232)分析
一、漏洞描述漏洞编号:CVE-2021-45232漏洞类型:API接口未授权访问受漏洞影响版本:Apache APISIX Dashboard v2.7 - v2.10(< v2.10.1)漏洞...
CVE-2021-45232漏洞分析
简介漏洞描述Apache APISIX是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Das...
会员业务出口网关的设计与实现
01#背景介绍1.1 出口网关是什么出口网关(Egress Gateway)是一种部署在云或企业网络中的网络组件,它控制着从内部网络(如企业内网、内部微服务网络)流出到外部网络(如公共互联网或其他外部...
某互联网厂商 Apisix绕阿里WAF拿下Rce
0x01 前言 在前不久的一次地级市攻防演练中,给定的资产少之又少,很难找到突破点,但是经过一轮的信息收集发现某个地址使用了apisix网关,RCE漏洞不就来了吗?但是绕WAF的过程还是比较困难的。0...
某互联网厂商 Apisix绕阿里WAF拿下Rce-漏洞挖掘
0x01 前言在前不久的一次地级市攻防演练中,给定的资产少之又少,很难找到突破点,但是经过一轮的信息收集发现某个地址使用了apisix网关,RCE漏洞不就来了吗?但是绕WAF的过程还是比较困难的。末尾...
某头部直辖市攻防演练纪实-如何不用0day打下n个点
不可多得的实战好文,建议收藏 前言 在某头部直辖市的攻防演练中,各家安全厂商投入了大量人力物力...而我方基本未做准备,只有小米加步枪,且看如何不用0day如何连下数城 前言 几个月前打了一场某头部直...
攻防|记一次某头部直辖市攻防案例总结
免责声明由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
Apache APISIX 默认密钥漏洞(CVE-2020-13945)
前言:Apache APISIX是一个高性能API网关。在用户未指定管理员Token或使用了默认配置文件的情况下,ApacheAPISIX将使用默认的管理员Token edd1c9f034335f13...