未受保护的 Kong Gateway Admin API 接口

最新推荐文章于 2023-09-28 15:19:03 发布
最新推荐文章于 2023-09-28 15:19:03 发布
阅读量215 收藏
点赞数
文章标签: kong gateway java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/voctor2436/article/details/130421669
版权

漏洞描述

Kong Gateway 是一个开源的轻量级 API 网关。 Kong 带有一个用于管理目的的内部 RESTful Admin API。对 Admin API 的请求可以发送到集群中的任何节点,Kong 将在所有节点上保持配置一致。在没有身份验证的情况下能够访问 Kong Gateway Admin API。建议限制对 Kong Admin API 的访问。建议仅将 Kong Gateway Admin API 公开给 localhost。

Kong仅接受来自本地端口的请求, admin_listen 配置项的默认值
如果更改此值,确保将监听范围保持在最低限度,以避免将 Admin API 暴露给第三方,这将严重损害整个集群的安全性。

漏洞建议

建议限制对 Kong Admin API 的访问。

例如,避免使用诸如 0.0.0.0:8001 这类的值,以免将Kong绑定到所有接口
如果 Admin API 必须在 localhost 接口之外公开,根据网络安全参考,需要尽可能的限制网络层的访问,考虑到Kong只监听一些私有网络接口,所以可以将访问权限控制在小的 IP 集合内,这种情况下,基于主机的防火墙(iptables)在限制范围性的流入流量很有帮助。

漏洞复现方法:

 

 

大白卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kong api可视化管理工具konga安装
weixin_30737363的博客
02-21 624
说明:官网推荐: kong-dashboard,但对比界面高端程度和友好度,更推荐konga.[一个坑]kong版本问题:我在安装时目前kong最新版本已经到1.0.0, 对于konga和kong-dashboard还不支持,建议安装低版本0.15以下; 具体表现查询apis,旧版本:[ip]:8001/apis,新版:[ip]:8001/services npm安装方式 1. 安装依赖 ...
物联网网关神器 Kong ( 四 )- 利用 Konga 来配置生产环境安全连接 Kong
知无涯
05-19 3842
物联网网关神器 Kong ( 四 )- 利用 Konga 来配置生产环境安全连接 Kong 前言 上一篇我们讲解了 Konga 的搭建和与 Kong 进行默认连接,本篇文章将讲一下如何在生产环境中基于验证的连接 Kong ,并详细讲解其中的参数。 前期准备 如果你需要在生产环境使用,那么你可以将 admin 端口只监听 127.0.0.1 ,然后通过 Kong 自己进行代理并增加效验。 首先,你可以通过默认方法连接上你的 Kong admin,这样方便进行配置。而后创建 Service。 Service
konga 怎么与kong关联的
qq690452074的专栏
01-16 392
安装kong时,会有映射的API端口8001
Docker安装Kong API Gatewaykonga
kongkong的专栏
03-03 674
创建Docker的Network # 创建 $ docker network create kong-net # 检查 $ docker network list 安装数据库 $ docker run -itd --network=kong-net \ --name kong-database \ -e POSTGRES_DB=kong \ -e POSTGRES_USER=pkslow \ -e POSTGRES_PASSWORD=pkslow-kong \ -p
微服务物理框架搭建
dabusidede的博客
05-16 862
从0到1,搭建微服务物理框架
kong启动后外部主机无法访问8001管理端口
Min_Monk的博客
01-27 5077
问题描述 kong启动后,在虚拟机上访问localhost:8001可以访问,但是外部机器通过[虚拟机IP:8001]无法访问 通过docker方式安装kong,在启动之后就不存在这个问题,外部主机通过IP端口可以轻松访问 问题排查分析 ubuntu虚拟机下情况 刚安装kong,默认监听的地址是127.0.0.1:8001,127.0.0.1:8443,可以通过查看/usr/local/k...
KongA 任意用户登录漏洞分析
最新发布
why811的博客
09-28 872
KongA 介绍 KongA 是 Kong 的一个 GUI 工具。GitHub 地址是 https://github.com/pantsel/konga。KongA 概述 KongA 带来的一个最大的便利就是可以很好地通过UI观察到现在 Kong 的所有的配置,并且可以对于管理 Kong 节点。
管理API安全保护详解 - 玩转Kong网关
chiqiao5151的博客
04-19 566
KongAdmin API为服务、路由、插件、用户和凭证的管理和配置提供了一个RESTFUL接口。因为可以对Kong进行完全控制,因此确保Admin API的安全访问非常重要。 网络层访问限制 最小监听范围 自0.12.0版本发布以来,默认情况下,Kong只接受本地接口的请...
Kong admin Api
叱咤少帅的博客
11-18 1363
前言 Kong的配置可以通过标准的Restfull api 进行控制。kong是基于OpenResty+lua的封装。配置可以界面化,相对简单。 名称解释 # 查询节点信息 curl http://localhost:8001 | jq . # 查看节点状态 curl http://localhost:8001/status | jq . route route是所有请求的入口,也就是kong会根据route的不同来转发到不同的service,一个route只能对应一个service,但是
网关服务KONG(二):admin-api使用指南
smqi的博客
05-05 4615
部署好kong之后,想要进行kong的配置管理,kong提供了比较全面的restful api,每个版本会有所不同,下面的记录基于kong v0.13.x。我们可以使用界面进行如下想要实现的动作,但这里主要讲解下使用api命令方式如何操作 Information Routes 获取kong节点的通用详细信息 查询节点信息 curl http://localhost:8001 部分返回字段...
kong-php:一个与PHP7兼容的库,用于与Kong Gateway Admin API进行交互
05-12
一个与PHP7兼容的库,用于与Kong Gateway Admin API进行交互。 Kong兼容性 当前支持Kong> = 0.10.0 要求 PHP 7.0以上 安装 使用 要使用Composer安装kong-php,只需将以下内容添加到composer.json文件中: { " ...
apigateway-kong
03-04
apigateway-kong
konga:不仅是Kong Admin API的另一个GUI
04-01
管理所有Kong Admin API对象。 从远程源(数据库,文件,API等)导入使用者。 管理多个Kong节点。 使用快照备份,还原和迁移Kong节点。 使用运行状况检查监视节点和API状态。 电子邮件和闲置通知。 多个用户。...
go-kong:绑定Kongadmin API
04-05
高空绑定KongAdmin API输入go get github.com/kong/go-kong/kong兼容性go-kongKong 1.x和2.x兼容。 go-kong版本控制遵循语义版本控制。发电机此kong/zz_generated.deepcopy.go某些代码(例如kong/zz_generated....
KongDash:Kong Admin API 的优雅桌面客户端
08-03
Kong达什 admin API 的优雅桌面客户端如何安装在 Linux 上Ubuntu 和其他 Debian 发行版: 下载.deb 包。 运行dpkg -i kongdash-xyz-arch.deb Fedora 和其他 Linux 发行版: 下载.tar.gz 存档。 提取存档并运行 ...
Kong API网关使用笔记
ss810540895的博客
03-04 787
kong配置了很多东西后一定要记得备份,备份可使用konga界面里面的Snapshot功能,创建快照,然后导出快照。
使用KongKonga管理微服务和API
背着小书包一路追寻梦想
04-09 2313
Kong是Mashape开源的高性能高可用API网关和API服务管理层。自2015年在github开源后,广泛受到关注。它基于OpenResty,进行API管理,并提供了插件实现API的AOP。Kong在Mashape 管理了超过15,000 个API,为200,000开发者提供了每月数十亿的请求支持。 在微服务架构之下,服务被拆的非常零散,降低了耦合度的同时也给服务的统一管理增加了难度。如上图...
CVE-2020-11710: Kong API网关未授权漏洞通告
爱国小白帽
04-16 4011
CVE-2020-11710: Kong API网关未授权漏洞通告 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年04月16日, 360CERT监测发现 业内安全厂商 发布了 Kong Admin Restful API网关未授权漏洞 的风险通告,该漏洞编号为 CVE-2020-11710,漏洞等级:高危。 Kong API 网...
如何对kong网关的admin-api进行权限管控(容器化部署下),对应CVE-2020-11710漏洞
qq_35530005的博客
02-19 1029
  kong网关在启动后会暴露两个端口。一个是8000,这个访问网关的入口,配在网关上的服务都是通过这个端口访问,服务可以配置各种各样的插件,包括鉴权,限流等。   另一个是8001,为admin-api,我们就是通过该接口kong网关进行增删查改,但是问题是这个端口是没有进行权限管控的,也就是说,如果一不小心暴露出去,任何人都可以通过该接口随意修改kong网关的数据,这显然是一个不小的隐患。   当然在容器化部署的情况下,我们可以不对外暴露端口,在部署时仅部署集群ip,需要调用admin-api的应用可
kong api gateway如何对接Salt Security
03-09
我可以回答这个问题。首先,您需要在 Kong API Gateway安装 Salt Security 插件。然后,您需要将 Salt ...最后,您可以使用 Kong API Gateway 来代理和保护您的 API,并使用 Salt Security 来检测和防止 API 攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值