Apache APISIX request_uri 变量控制不当,存在路径穿透风险公告(CVE-2021-43557)

最新推荐文章于 2025-09-01 16:31:03 发布
原创 最新推荐文章于 2025-09-01 16:31:03 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#腾讯云 #apache #云计算

Apache APISIX 在2.10.2之前的版本中,request_uri变量处理不当可能导致路径穿透风险。攻击者可绕过访问控制,访问禁止API。该问题已在2.10.2版本中修复,建议用户升级并检查自定义插件中对request_uri的使用。

问题描述

在 Apache APISIX 2.10.2 之前的版本中,使用 Apache APISIX Ingress Controller 中 $request_uri 变量存在「绕过部分限制」导致路径穿透风险的问题。

在使用 uri-blocker 插件进行测试场景时发现:

$ ./apisix_request.sh "/public-service/public"
Defaulted container "apisix" out of: apisix, wait-etcd (init)
{"data":"public data"}

$ ./apisix_request.sh "/protected-service/protected"
Defaulted container "apisix" out of: apisix, wait-etcd (init)
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>openresty</center>
</body>
</html>

在上述两种场景下,public-service 是可用的,protected-service 则被插件阻止了。后续对上述场景进行验证测试,发现两种情况均能绕过 Uri 的限制。

由于uri-blocker 插件使用 ctx.var.require_uri 变量不当,导致:

  • 攻击者可以绕过访问控制限制逻辑,访问本应该禁止的 API;

    • <
最低0.47元/天 解锁文章
Apisix插件之uri-blocker
he20021221的博客
09-04 837
uri-blocker 是 APISIX 的安全插件,用于拦截特定 URI 请求。核心功能包括:通过正则表达式配置block_rules规则拦截敏感路径(如/admin/*),匹配时返回403;支持多规则组合,精确控制访问权限;适用于保护管理后台、防范攻击等场景。需注意规则准确性,避免误拦正常请求,可与其他安全插件配合使用。该插件在请求到达网关时进行URI匹配,未命中则放行,有效提升API安全性。
apisix admin api 403 Forbidden(接口请求403)
m0_37298500的博客
12-28 1969
当你通过apisix的admin api 接口方式执行相关操作时,例如route、upstream设置,接口返回403 Forbidden
Apache mod_rewrite中的REQUEST_URI使用实例
09-15
主要介绍了Apache mod_rewrite中的REQUEST_URI使用实例,本文使用一个实例讲解如何使用REQUEST_URI,需要的朋友可以参考下
$_SERVER["REQUEST_URI"]是在Apache下是可用的,但在iis下是不可用的
梦想摆渡的专栏
04-25 2811
<?php // Fix for IIS, which doesn't set REQUEST_URI if (empty ( $_SERVER ['REQUEST_URI'] )) { // IIS Mod-Rewrite if (isset ( $_SERVER ['HTTP_X_ORIGINAL_URL'] )) { $_SERVER ['REQUEST_URI'] = $_SERV
php中getUri(),request.getURL()request.getURI()
weixin_29799175的博客
04-06 229
request.getRequestURI() 返回值类似:/ServletTest/servlet/Hello再如:request.getContextPath() = /ServletTestrequest.getLocalAddr() = 127.0.0.1request.getPathInfo() = nullrequest.getPathTranslated() = nullreques...
内网穿透URL路径拼接
Curtisjia的博客
11-02 893
最近在用springboot+mybatis为后台做微信小程序,因为自己本人水平有限,对小程序也是一知半解,也是边学边做的。今天在做小程序轮播图的时候,考虑到小程序设置文件上限不超过2M,所以想把图片从后台传输过来,这里就用到了内网穿透,具体我这里不做阐述,我使用的工具是natapp。 我将图片路径放到数据库中,然后获取数据。我只贴了dao层的,其余层就不贴了,都一样的。 接着获取数据 之后就是...
网络安全专业名词解释
qq_40909772的博客
03-04 1万+
Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互,作名词解.
标准化设计如何压缩NRE成本:模块化架构带来的4倍效率提升实证分析
!...# 1. NRE成本的构成与模块化设计的破局逻辑 非重复性工程成本(NRE)主要涵盖架构设计、原型开发、验证测试及技术文档等前期投入,传统模式下高度耦合的系统架构导致研发资源重复消耗。模块化设计通过功能解耦与...
nginx 用lua中获取url路径相关信息
热门推荐
xiejunna的博客
05-11 3万+
1.获取当前请求的url相关信息function test() -- 这个变量等于包含一些客户端请求参数的原始URI,它无法修改,请查看$uri更改或重写URI。 local request_uri = ngx.var.request_uri log(tools.gbk_to_u8("获取当前请求的url==") .. tools.u8_to_gbk(cjson.encode(request_ur
apisix 发送get请求(里面带有head请求头)
小游
01-03 1395
本文档为个人博客文档系统的备份版本、作者:小游、作者博客:点击访问 发送 function _M.access(conf, ctx) -- 引入resty的http请求模块 local http = require("resty.http") -- 新建一个http请求 local httpc = http.new() -- 负载均衡的节点列表 local hosts = {} hosts["192.168.123.131:81"] = 1 .
Apache APISIX路由匹配规则:Nginx变量与自定义条件
最新发布
gitblog_00100的博客
09-01 1029
在现代微服务架构中,API网关(API Gateway)承担着流量入口的关键角色。Apache APISIX作为云原生API网关,其强大的路由匹配能力是其核心优势之一。你是否曾遇到过这样的场景: - 需要根据请求头、Cookie或查询参数进行精细化路由? - 希望实现基于复杂业务逻辑的A/B测试或灰度发布? - 需要自定义路由匹配规则来满足特定业务需求? 本文将深入解析Apache APISI...
示例详解 ngx.var.uri 与 ngx.var.request_uri 的区别
xchenhao 的博客
09-13 4122
ngx.var.uri 与 ngx.var.request_uri 的区别
API网关-Apisix路由配置教程(数据编辑器方式)
zcs2312852665的博客
03-26 6306
本文介绍了在 API 网关中进行端口修改、常用插件配置、消费者配置、上游配置和路由配置的方法。通过对这些方面的详细说明,读者可以了解如何灵活地调整和定制自己的 API 网关环境,以满足不同场景下的需求。使用插件需要配置 plugins 字段,不配置默认不使用插件。启用插件需要把 plugins 字段下 _meta.disable 的值设为 false。本文从多个方面介绍了在 API 网关中进行各种配置操作的方法。无论是修改端口还是添加插件或设置消费者等,都能够帮助用户更好地管理和控制其API网关环境。
nginx中reuqest_uriuri的区别说明
weixin_30763397的博客
10-18 717
reuqest_uri:即客户端发送来的原生请求URI,包括请求参数 uri:请求URI,不包括任何请求参数 举例说明: 1、比如客户端以get方式请求/admin页面,并且带id和name两个参数,则方法是在浏览器中输入: http://www.test.com/admin?id=1&name=li ?前面的表示页面地址, 后面的表示参数,不同参数之间...
apisix安装常见问题归纳
qq_41829085的博客
12-14 6119
本文为自己安装中所遇到的一些常见问题,保持长期更新,欢迎c友们批评指正,或者将自己遇到的问题私信给我,我会总结更新出来,同时期待官方文档早日总结。 1.0 如果安装依赖访问github出现连接失败或者拒绝连接。 1 vim(vi) /etc/hosts 打开后会发现类似如下ip,现全部删除, 只需要新插入: 140.82.112.3 github.com 即可;这是github ip地址更换原因。 2.0 安装etcd3.4后,依旧无法开启apisix,提示etcd问题 这里 ...
mod_rewrite模块详解()
congjukun0600的博客
08-11 335
mod_rewrite模块详解()[@more@]Apache模块 mod_rewritemod_rewrite模块提供了一个基于规则的(使用正则表达式分析器的)实时转向URL请求的引擎。支持每个规则可以拥有不限数量的规则以及...
高性能微服务网关APISIX - 常用插件(1)
知秋的博客
12-17 6097
APISIX 常用插件(1) APISIX 插件机制 Plugin 表示将在 HTTP 请求/响应生命周期期间执行的插件配置。 Plugin 配置可直接绑定在 Route 上,也可以被绑定在 Service 或 Consumer上。而对于同一 个插件的配置,只能有一份是有效的,配置选择优先级总是 Consumer > Route > Service。 在 conf/config.yaml 中,可以声明本地 APISIX 节点都支持哪些插件。这是个白名单机制,不在该白名单的插件配置,都将会被自动忽
接口报错403 Forbidden 【已解决】
我是 二川兄,对Web开发、GIS开发、3D模型、机器学习、面试技巧等方面都有一些涉猎~ 欢迎您加入技术交流圈!你可以在我的文章末尾找到我~
09-03 1万+
接口报错403 Forbidden 【已解决】
Apache mod_rewrite模块中CVE-2006-3747漏洞的详细分析
在2006年7月28日,Mark Dowd向bugtraq邮件列表报告了这个漏洞,指出当Apache的mod_rewrite模块处理LDAP URL时,由于escape_absolute_uri()函数存在问题,容易受到攻击。这个函数本应安全地转义绝对URI,但在处理LDAP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

API7.ai 技术团队

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值