使用 Apache APISIX serverless 能力快速拦截 Apache Log4j2 的高危漏洞

最新推荐文章于 2024-04-28 03:40:28 发布
最新推荐文章于 2024-04-28 03:40:28 发布
阅读量2.9k 收藏
点赞数
文章标签: apache serverless 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ApacheAPISIX/article/details/121860806
版权

近日网络上曝光了 Apache Log4j2 的远程代码执行漏洞。该漏洞在 Apache Log4j2 的开发团队完全修复之前提前曝光,导致在野利用,使用 Log4j2 的 2.x 至 2.14.1 的版本的项目均有被攻击风险。

漏洞利用分析

从该漏洞复现过程我们可以分析出,利用该漏洞的关键步骤是构造恶意的 payload,类似于

{xxxxx//attacker.com/a}

在官方发布完全修复版本以及当前环境升至修复版本之前,需要一种临时措施来拦截携带改恶意负载的请求,保护服务不受该漏洞的在野攻击。

Apache APISIX 应对措施

我们可以在 Apache APISIX 上过滤请求负载,用正则匹配恶意的 payload 的关键词,并对其进行拦截。

假设 payload 的关键字为 “xxxxx”,可以用 serverless 插件执行自定义拦截脚本,配置示例如下:

curl http://127.0.0.1:9080/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
    "uri": "/*",
    "plugins":{
        "serverless-pre-function":{
            "phase":"rewrite",
            "functions":[
                "ret
最低0.47元/天 解锁文章
API7.ai 技术团队
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
当 Amazon Lambda 遇上 Apache APISIX 可以擦出什么火花?
ApacheAPISIX的博客
02-23 382
本文首先介绍了什么是 Serverless,以及为什么需要 Serverless;其次,讲述了一个好的网关在 Serverless 架构下的重要性,而 APISIX 就是这样的一个网关;最后,本文重点介绍了 APISIX 中的 Serverless 类型的插件 aws-lambda,同时列举了 Apache APISIX 其它 Serverless 相关插件。 作者程小兰,API7.ai 技术工程师,Apache APISIX Contributor。 原文链接 使用 Amazon Lambda 时为什
XSS攻击过滤器实现
EvanDeveloper的专栏
07-12 1640
一、XSS简介 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类 xss攻击可以分成两种类型: 非持久型攻击 持久型攻
Nginx、Kong、Apisix、Gateway网关比较
VivianStark的博客
05-14 5335
Apache APISIX基于 nginx(openresty)和 Lua 实现的一款国产软件,是一个动态、实时、高性能的云原生API网关,提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Filter可以对请求和响应进行处理。API网关为微服务架构的系统提供简单、有效 且统一的API路由管理,作为系统的统一入口,提供内部服务的路由中转,给客户端提供统一的服务,可以实现一些和业务没有耦合的公用逻辑,主要功能包含认证、鉴权、路由转发、安全策略、防刷、流量控制、监控日志等。
Apache Apisix网关系统历史漏洞复现分析_apache apisix 漏洞(1)
最新发布
2401_84267585的博客
04-28 829
Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。;;你可以把 Apache APISIX 当做流量入口,来处理所有的业务数据,包括动态路由、动态上游、动态证书、金丝雀发布(灰度发布)、限流限速、抵御恶意攻击、监控报警、服务可观测性、服务治理等。APISIX 系统默认端口默认凭据或口令90809000# 验证安装是否成功【创建路由】通过下面的命令,你将创建一个路由,把请求。
Apache拦截HTTP请求
09-16 3236
http://fengchangjian.com/?p=865 有些时候,为了保证Web应用的安全性,可以选择在Apache服务器中将一些危险的HTTP请求过滤,例如DELETE请求,也可以将系统不作处理的无效请求过滤,例如TRACE、OPTIONS请求,以防入侵者发送
Apache中过滤js、css、jpg等格式文件的设置(Windows)
Richard_Melody的专栏
05-31 1842
1、打开httpd.conf文件,找到如下模块   ...2、在其中增加要过滤的文件格式:SetEnvIf Request_URI /.css$ image-requestSetEnvIf Request_URI /.js$ image-requestSetEnvIf Request_URI /.jpg$ image-requestSetEnvIf Request_URI /.gif$ image-requestSetEnvIf Request_URI /.png$ image-requestSetEnvI
serverless-geoip:将MaxMind GeoLite2数据库与AWS Lambda一起使用
02-05
使用AWS Lambda和来查询IP地址的位置。 您可以调用该函数或使用API​​网关发送带有IP地址的HTTP请求以进行查找。 安装 $ > git clone git@github.com:sbstjn/serverless-geoip.git $ > cd serverless-geoip $ > ...
serverless-openwhisk:将Apache OpenWhisk支持添加到Serverless Framework中!
02-05
无服务器Apache OpenWhisk插件 此插件可在无服务器框架内支持。入门向Apache OpenWhisk注册帐户您必须先在平台上注册一个帐户,然后才能将服务部署到Apache OpenWhisk。 是否想在本地运行平台? 请阅读该项目的指南...
openwhisk-website:Apache OpenWhisk网站(openwhisk.apache.org)的内容; 使用Jekyll建造
04-28
Apache OpenWhisk网站 Apache OpenWhisk是一种云优先的基于事件的分布式编程服务。 它提供了一种编程模型,可以将事件处理程序上传到云服务,并注册处理程序以响应各种事件。 本地开发快速入门 安装先决条件 下载并...
openwhisk-devtools:用于构建和部署Apache OpenWhisk的开发工具
04-30
docker 允许使用Docker Compose在本地测试OpenWhisk。 如果您正在为核心发展做出贡献,这是理想的选择 此原型有助于生成Java Action模板项目。 允许仅使用node.js在本地测试各个OpenWhisk函数。 如果您正在编写要在...
lambda上的spark:AWS Lambda上的Apache Spark
02-04
”Lambda上的Spark-自述文件AWS Lambda是一种无服务器的功能即服务,可快速扩展并以100ms的粒度计费。 我们认为,看看能否在Lambda上运行Apache Spark会很有趣。 这是一个有趣的想法,为了进行验证,我们只是将其砍...
ApiSix全动态能力
十年呵护的专栏
08-16 3467
一、前言: 热更新和热插件: 无需重启服务,就可以持续更新配置和插件。 代理请求重写: 支持重写请求上游的host、uri、schema、enable_websocket、headers信息。 输出内容重写: 支持自定义修改返回内容的status code、body、headers。 Serverless: 在 APISIX 的每一个阶段,你都可以添加并调用自己编写的函数。 动态负载均衡:动态支持有权重的 round-robin 负载平衡。 支持一致性 hash 的负载均衡:动态支持一致性 h.
如何使用 Apache APISIX CSRF 安全插件拦截跨站点伪造攻击
ApacheAPISIX的博客
02-23 853
本文详细描述了 csrf 插件的工作方式以及使用方法,希望通过本文可以让大家对在 Apache APISIX使用插件拦截 CSRF 攻击有更清晰的认识,方便在实际场景中应用。
Apache Apisix网关系统历史漏洞复现分析
道阻且长,行则将至。
02-18 1982
Apache APISIX 作为一个动态、实时、高性能的云原生 API 网关,提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。本文总计、复现可 Apache APISIX 网关系统的几个历史 CVE 漏洞
Apache APISIX 2.15 版本发布,为插件增加更多灵活性
ApacheAPISIX的博客
08-02 623
新版本支持用户自定义插件的优先级,而非直接应用插件默认的优先级属性。有了这个功能,我们可以在某个特定的路由上调整某几个插件的执行顺序,从而打破之前插件优先级属性的束缚。例如,在默认情况下,插件是在插件之后执行的。但是通过此功能,可以让插件优先执行。{{"_meta"{{"_meta"{如果一个插件配置中没有注明优先级,则会根据插件代码中的优先级属性值进行排序。如果你在Service或者PluginConfig的插件配置中指定了插件的优先级,那么在合并到路由后依然生效。...
Apache Apisix网关系统历史漏洞复现分析_apache apisix 漏洞
2401_83946284的博客
04-15 266
Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。;;你可以把 Apache APISIX 当做流量入口,来处理所有的业务数据,包括动态路由、动态上游、动态证书、金丝雀发布(灰度发布)、限流限速、抵御恶意攻击、监控报警、服务可观测性、服务治理等。APISIX 系统默认端口默认凭据或口令90809000# 验证安装是否成功【创建路由】通过下面的命令,你将创建一个路由,把请求。
CVE-2022-24112 Apache APISIX 命令执行漏洞复现
Love&Share
04-07 2825
如果用户使用 Apache APISIX 默认配置(启用 Admin API ,使用默认 Admin Key 且没有额外分配管理端口),攻击者可以通过 batch-requests 插件调用 Admin API ,导致远程代码执行。Apache APISIXApache 软件基金会下的云原生 API 网关,它兼具动态、实时、高性能等特点,提供了负载均衡、动态上游、灰度发布(金丝雀发布)、服务熔断、身份认证、可观测性等丰富的流量管理功能。登陆后台可以看到其添加的一条路由列表,在。
基于 TiDB 的 Apache APISIX 高可用配置中心的最佳实践
ApacheAPISIX的博客
04-22 1651
项目背景 什么是 Apache APISIX? API 网关作为微服务架构中的重要组件,是流量的核心出入口,用于统一处理和业务相关的请求,可有效解决海量请求、恶意访问等问题,保障业务安全性与稳定性。 作为开源的云原生 API 网关,Apache APISIX 兼具动态、实时、高性能三大优势,可提供负载均衡、动态上游、灰度发布、服务熔断、鉴权认证、可观测性等丰富的流量管理功能,帮助企业快速、安全地处理 API 和微服务流量,可应用于网关、Kubernetes Ingress 和服务网格等场景。 同时,Apac
Apache apisix默认密钥漏洞(CVE-2020-13945)
Bird&Bird
03-11 1932
Apache APISIX 是一个动态、实时、高性能的 API 网关,基于 Nginx 网络库和 etcd 实现, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。当使用者开启了Admin API,没有配置相应的IP访问策略,且没有修改配置文件Token的情况下,则攻击者利用Apache APISIX的默认Token即可访问Apache APISIX,从而控制APISIX网关。
serverless 应用引擎安装使用
01-06
Serverless 应用引擎(Serverless Application Engine)是一种云原生的应用部署和管理平台。它可以帮助开发者将代码轻松地部署到云端,而无需考虑服务器的管理和维护。 安装和使用 Serverless 应用引擎需要以下步骤: 1. 首先,需要在云服务提供商(如 AWS、阿里云等)创建账户,并进行必要的身份验证和权限配置。 2. 在本地开发机器上安装并配置相关的开发工具,如命令行界面(CLI)工具、代码编辑器等。 3. 在命令行界面中,使用适当的指令来安装 Serverless 应用引擎。具体的指令可能因云服务提供商有所不同,需参考相关文档。 4. 在安装完成后,使用命令行界面创建一个新的项目或选择已有的项目。 5. 编写应用程序的代码,并针对特定的云服务提供商进行相关配置。这些配置可能包括函数的入口点、运行环境、内存分配等。 6. 使用命令行界面将应用程序部署到云端。这个过程会自动创建所需的资源(如函数、存储桶等),并将代码上传到云端。 7. 一旦部署完成,开发者可以通过命令行界面获取应用程序的状态、日志和其他相关信息。 8. 如果需要更新应用程序,可以通过修改本地代码后,再一次使用命令行界面将应用程序部署到云端。 总之,安装和使用 Serverless 应用引擎需要开发者熟悉相关的命令行界面和云服务商的配置,同时需要编写适应云服务商要求的代码。通过这些步骤,开发者可以方便地将自己的应用程序部署到云端,并享受 Serverless 架构的弹性和可扩展性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

API7.ai 技术团队

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值