0x01 前言 在前不久的一次地级市攻防演练中,给定的资产少之又少,很难找到突破点,但是经过一轮的信息收集发现某个地址使用了apisix网关,RCE漏洞不就来了吗?但是绕WAF的过程还是比较困难的。0...
某互联网厂商 Apisix绕阿里WAF拿下Rce-漏洞挖掘
0x01 前言在前不久的一次地级市攻防演练中,给定的资产少之又少,很难找到突破点,但是经过一轮的信息收集发现某个地址使用了apisix网关,RCE漏洞不就来了吗?但是绕WAF的过程还是比较困难的。末尾...
某头部直辖市攻防演练纪实-如何不用0day打下n个点
不可多得的实战好文,建议收藏 前言 在某头部直辖市的攻防演练中,各家安全厂商投入了大量人力物力...而我方基本未做准备,只有小米加步枪,且看如何不用0day如何连下数城 前言 几个月前打了一场某头部直...
攻防|记一次某头部直辖市攻防案例总结
免责声明由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
Apache APISIX 默认密钥漏洞(CVE-2020-13945)
前言:Apache APISIX是一个高性能API网关。在用户未指定管理员Token或使用了默认配置文件的情况下,ApacheAPISIX将使用默认的管理员Token edd1c9f034335f13...
【Web实战】某头部直辖市攻防演练纪实-如何不用0day打下n个点
扫 在某头部直辖市的攻防演练中,各家安全厂商投入了大量人力物力...而我方基本未做准备,只有小米加步枪,且看如何不用0day如何连下数城 前言 几个月前打了一场某头部直辖市的攻防演练,演练当时通知的很...
CVE-2020-13945—Apache APISIX 默认密钥漏洞
漏洞原理Apache APISIX 是一个动态、实时、高性能的 API 网关,基于 Nginx 网络库和 etcd 实现, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管...
CVE-2022-24112:Apache APISIX 命令执行漏洞
上方蓝色字体关注我们,一起学安全!作者:H1kki@Timeline Sec本文字数:2255阅读时长:3~5min声明:仅供学习参考使用,请勿用作违法用途,否则后果自负0x01 简介Apache A...
为什么 APISIX Ingress 是比 Traefik 更好的选择?
❝作者:张晋涛,API7.ai 云原生专家,Apache APISIX Committer、Kubernetes Ingress Nginx ReviewerApache APISIX Ingress...
CVE-2021-45232:Apache APISIX Dashboard RCE简析
漏洞概述Apache APISIX 是一个动态、实时、高性能的 API 网关,Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。在2.10.1之前的...
【技术干货】CVE-2022-24112 Apache APISIX 远程代码执行漏洞
李安@PortalLab实验室漏洞描述攻击者可以向batch-requests插件发送请求来绕过管理API的IP限制。Apache APISIX的默认配置(带有默认的API密钥)容易受到远程代码执行的...
CVE-2022-29266 Apache Apisix jwt-auth插件密钥泄漏漏洞复现
01漏洞介绍Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体...