如何对kong网关的admin-api进行权限管控(容器化部署下),对应CVE-2020-11710漏洞

最新推荐文章于 2023-09-12 13:53:55 发布
最新推荐文章于 2023-09-12 13:53:55 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: 容器化 kong 文章标签: kubernetes 安全漏洞 网关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35530005/article/details/113847602
版权
本文探讨了Kong网关admin-api的安全问题,指出其默认无权限管控的隐患,特别是在容器化部署下。建议通过回环代理方式实现权限管控,详细介绍了配置过程,包括设置acl和key-auth插件以保护接口。此外,强调了测试完成后需关闭8001端口广播,确保只有本地能访问。
摘要由CSDN通过智能技术生成

一、为什么要对admin-api权限管控

  kong网关在启动后会暴露两个http的端口。一个是8000,这个访问网关的入口,配在网关上的服务都是通过这个端口访问,服务可以配置各种各样的插件,包括鉴权,限流等。
  另一个是8001,为admin-api,我们就是通过该接口对kong网关进行增删查改,但是问题是这个端口是没有进行权限管控的,也就是说,如果一不小心暴露出去,任何人都可以通过该接口随意修改kong网关的数据,这显然是一个不小的隐患。
  当然在容器化部署的情况下,我们可以不对外暴露端口,在部署时仅部署集群ip,需要调用admin-api的应用可以通过服务名调用的方式来调用,这样可以防止该k8s集群外的主机调用admin-api。缺点自然也很明显,万一不法分子入侵到k8s集群里的任何一台机子上,都可以调用admin-api。

二、如何通过回环代理方式进行权限管控

  在官方的教程里有回环的方式,就是将8001的对外广播关闭,然后将8001的端口当成一个服务配置到kong网关上,然后我们就可以通过8000/服务名的方式来访问admin-api,并随意增加插件。这样做还有一个额外的好处,一般k8s部署kong的话会部署两个kong的服务,一个暴露8001端口,一个暴露8000端口(因为一个服务职能暴露一个端口),将8001代理到8000后,我们只需要一个服务就可以了。
  下面提供代理,并配置相应权限管控插件的shell脚本,可以在k8s命令行执行,直接输出consumerKey:


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  杰猿
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz

				
			

			

				

					06-21
				

			

		

		

			
				
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...

			
		

	



                

              
                



	

		

			

				
					
Kong对用户访问api鉴权

				
			

			

				

					linruby00的博客
				

				

					03-17
					
					4562
					
				

			

		

		

			
				
1.发布API
	POST http://10.74.216.110:8001/apis
	{
	   "name":"xxx_share",  //API名称
	   "request_path":"/share",  //rest请求路径
	   "strip_request_path": true,  //true:不将request_path添加到upstream_url后面
...

			
		

	



                


  
              

                


	

		

			

				
					
CVE-2020-11710: Kong API网关未授权漏洞通告

				
			

			

				

					爱国小白帽
				

				

					04-16
					
					4307
					
				

			

		

		

			
				
CVE-2020-11710: Kong API网关未授权漏洞通告
360-CERT [360CERT](javascript:void(0)???? 今天

0x00 漏洞背景
2020年04月16日, 360CERT监测发现 业内安全厂商 发布了 Kong Admin Restful API网关未授权漏洞 的风险通告,该漏洞编号为 CVE-2020-11710漏洞等级:高危。
Kong API 网...

			
		

	





	

		

			

				
					
Kong未授权访问漏洞(CVE-2020-11710)复现

				
			

			

				

					玄道的网安博客
				

				

					03-05
					
					5943
					
				

			

		

		

			
				
简介



Kong是开源的、"云原生"(cloud-native)的API Gateway应用程序,使用Kong gateway的各种插件可实现对访问流量的精细控制、访问鉴权。



影响版本




Kong :< V2.0.3



环境搭建



使用docker进行搭建

创建Docker网络



拉取并启动PostgreSQL容器


docker run -d --name kong-database \
               --network=kong-net \...

			
		

	



		

			
		



	

		

			

				
					
常用的30+种未授权访问漏洞汇总

				
			

			

				

					qq_50854662的博客
				

				

					09-17
					
					5492
					
				

			

		

		

			
				
常用的30+种未授权访问漏洞汇总

			
		

	





	

		

			

				
					
未受保护的 Kong Gateway Admin API 接口

				
			

			

				

					voctor2436的博客
				

				

					04-28
					
					259
					
				

			

		

		

			
				
Admin API 的请求可以发送到集群中的任何节点,Kong 将在所有节点上保持配置一致。如果 Admin API 必须在 localhost 接口之外公开,根据网络安全参考,需要尽可能的限制网络层的访问,考虑到Kong只监听一些私有网络接口,所以可以将访问权限控制在小的 IP 集合内,这种情况下,基于主机的防火墙(iptables)在限制范围性的流入流量很有帮助。如果更改此值,确保将监听范围保持在最低限度,以避免将 Admin API 暴露给第三方,这将严重损害整个集群的安全性。

			
		

	





	

		

			

				
					
kong的端口简介以及如何远程连接kong的管理端口

				
			

			

				

					wtfk233的博客
				

				

					09-05
					
					6165
					
				

			

		

		

			
				
kong有四个端口号,分别为两个代理端口,两个管理端口。当我们使用第三方UI来连接管理kong的时候,如konga,需要通过连接kong的管理端口(一般使用8001)来对其进行管理。但是,若konga和kong不在一台服务器,通过konga连接kong的8001端口时会发现连接被拒绝。

			
		

	





	

		

			

				
					
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)

				
			

			

				

					03-05
				

			

		

		

			
				
CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞的存在使得攻击者有可能通过精心构造的请求,将恶意代码注入到Tomcat服务器上,从而执行任意...

			
		

	





	

		

			

				
					
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md

				
			

			

				

					04-12
				

			

		

		

			
				
CVE-2020-13925 Apache Kylin 远程命令执行漏洞

			
		

	





	

		

			

				
					
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令

				
			

			

				

					03-31
				

			

		

		

			
				
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。  首先,让我们了解这些特定的漏洞:  1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...

			
		

	





	

		

			

				
					
BrewCenterAPI:开源API,用于管理与家庭酿造有关的数据

				
			

			

				

					05-04
				

			

		

		

			
				
BrewCenterAPI
请暂缓所有开发
目前,请暂不进行任何BrewCenter开发。 在进度过大之前,我正在进行重新设计。 特别是,我正在重构整个体系结构,以便为一套工具的面向服务的体系结构提供更好的支持。 其他改进将包括更强大的身份验证和授权机制,以及引入GraphQL作为使用数据的主要方法。
BrewCenter API到底是什么?
 BrewCenter API是一个开源且免费使用的API,用于共享与酿造相关的数据。 使用此API,酿造者(酿造程序员)可以共享有关可发酵物,啤酒花,酵母和其他相关信息的科学规范,以创建酿造相关的应用程序! 该项目的目的不是为普通的家庭酿酒者制造产品,而是为经验丰富的酿酒师制造产品。 该API将允许人们获取其所有数据。 然后,可以在其他酿造应用程序中使用此数据,以社区认可的正确值填充字段和选择。
数据来自哪里?
 该数据集将在很大程度上是众包的,在

			
		

	





	

		

			

				
					
cve-2020-14750.zip9(补丁升级)

				
			

			

				

					05-26
				

			

		

		

			
				
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...

			
		

	





	

		

			

				
					
未授权访问漏洞总结

				
			

			

				

					LuckySec
				

				

					03-24
					
					5007
					
				

			

		

		

			
				
前言:这篇文章主要收集一些常见的未授权访问漏洞。未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
0x01 未授权漏洞预览
Active MQ 未授权访问
Atlassian Crowd 未授权访问
CouchDB 未授权访问
Docker 未授权访问
Dubbo 未授权访问
Druid 未授权访问
Elasticsearch 未授权访问
FTP 未授权访问
Hadoop 未授权访问
JBoss 未授权访

			
		

	





	

		

			

				
					
kong笔记——kong权限认证插件选择参考

				
			

			

				

					罗伯特是疯子丶
				

				

					02-25
					
					2830
					
				

			

		

		

			
				
kong可提供的权限认证场景
Basic auth
基本介绍
基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和密码会通过HTTP头传递。
在发送之前是以用户名追加一个冒号然后串接上密码,并将得出的结果字符串再用Base64算法编码。

eg:
提供的用户名是:admin
口令是:123456
拼接后的结果是:admin:123456,然后再将其用Base64编码的字符串为:YWRtaW46MTIzNDU2

最终将Base64编码的字符

			
		

	





	

		

			

				
					
【网络安全---漏洞复现】Tomcat CVE-2020-1938 漏洞复现和利用过程(特详细)

					
最新发布

				
			

			

				

					m0_67844671的博客
				

				

					09-12
					
					1万+
					
				

			

		

		

			
				
Tomcat CVE-2020-1938 漏洞复现和利用过程(特详细);Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。AJP(Apache JServ Protocol)是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。WEB服务器通过 TCP连接 

			
		

	





	

		

			

				
					
实现Kong的Java管理API - Kong最佳实践

				
			

			

				

					chiqiao5151的博客
				

				

					04-19
					
					1598
					
				

			

		

		

			
				
Kong提供了Http的管理API,可以实现对Kong的管理。我们利用Kong的Amin API,实现一套JAVA的管理API。这里以添加一个Service和Route为示例: 
 使用retrofit2实现 
 添加Maven依赖 
 <dependency>
      ...

			
		

	





	

		

			

				
					
使用KongKonga管理微服务和API

				
			

			

				

					jiangbb8686的博客
				

				

					11-23
					
					3590
					
				

			

		

		

			
				
Kong是Mashape开源的高性能高可用API网关API服务管理层。自2015年在github开源后,广泛受到关注。它基于OpenResty,进行API管理,并提供了插件实现API的AOP。Kong在Mashape 管理了超过15,000 个API,为200,000开发者提供了每月数十亿的请求支持。

在微服务架构之下,服务被拆的非常零散,降低了耦合度的同时也给服务的统一管理增加了难度。如上图...

			
		

	





	

		

			

				
					
Kong admin Api

				
			

			

				

					叱咤少帅的博客
				

				

					11-18
					
					1411
					
				

			

		

		

			
				
前言

Kong的配置可以通过标准的Restfull api 进行控制。kong是基于OpenResty+lua的封装。配置可以界面,相对简单。

名称解释


# 查询节点信息
curl  http://localhost:8001 | jq .

# 查看节点状态
curl  http://localhost:8001/status | jq .

route

route是所有请求的入口,也就是kong会根据route的不同来转发到不同的service,一个route只能对应一个service,但是

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值