使用 Apache APISIX serverless 能力快速拦截 Apache Log4j2 的高危漏洞

最新推荐文章于 2025-10-11 01:27:12 发布
原创 最新推荐文章于 2025-10-11 01:27:12 发布 · 3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #serverless #安全

本文介绍了如何使用 Apache APISIX 的 serverless 功能应对 Apache Log4j2 的远程代码执行漏洞。通过配置自定义拦截脚本,匹配并拦截携带恶意 payload 的请求,保护服务安全。Apache APISIX 是一个高性能的 API 网关,提供多种流量管理功能,帮助企业处理 API 和微服务流量。

近日网络上曝光了 Apache Log4j2 的远程代码执行漏洞。该漏洞在 Apache Log4j2 的开发团队完全修复之前提前曝光,导致在野利用,使用 Log4j2 的 2.x 至 2.14.1 的版本的项目均有被攻击风险。

漏洞利用分析

从该漏洞复现过程我们可以分析出,利用该漏洞的关键步骤是构造恶意的 payload,类似于

{xxxxx//attacker.com/a}

在官方发布完全修复版本以及当前环境升至修复版本之前,需要一种临时措施来拦截携带改恶意负载的请求,保护服务不受该漏洞的在野攻击。

Apache APISIX 应对措施

我们可以在 Apache APISIX 上过滤请求负载,用正则匹配恶意的 payload 的关键词,并对其进行拦截。

假设 payload 的关键字为 “xxxxx”,可以用 serverless 插件执行自定义拦截脚本,配置示例如下:

curl http://127.0.0.1:9080/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
    "uri": "/*",
    "plugins":{
        "serverless-pre-function":{
            "phase":"rewrite",
            "functions":[
                "return function(conf, ctx) local core = require(\"apisix.core\"); local payload, err = core.request.get_body(); if not payload then local uri_args, err
最低0.47元/天 解锁文章
Apache APISIX 默认密钥漏洞(CVE-2020-13945)
horistttt的博客
04-22 7537
Vulhub——Apache APISIX 默认密钥漏洞(CVE-2020-13945) 文章目录Vulhub——Apache APISIX 默认密钥漏洞(CVE-2020-13945)APISIX简介漏洞复现 APISIX简介 官方一句话介绍:Apache APISIX是一个高性能API网关。 API网关又是什么? 百度:API网关,软件术语,两个相互独立的局域网之间通过路由器进行通信,中间的路由被称之为网关。 任何一个应用系统如果需要被其他系统调用,就需要暴露 API,这些 API 代表着一个一个的功能
Apache apisix默认密钥漏洞(CVE-2020-13945)
Bird&Bird
03-11 2434
Apache APISIX 是一个动态、实时、高性能的 API 网关,基于 Nginx 网络库和 etcd 实现, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。当使用者开启了Admin API,没有配置相应的IP访问策略,且没有修改配置文件Token的情况下,则攻击者利用Apache APISIX的默认Token即可访问Apache APISIX,从而控制APISIX网关。
Apache Apisix网关系统历史漏洞复现分析
道阻且长,行则将至
02-18 3196
Apache APISIX 作为一个动态、实时、高性能的云原生 API 网关,提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。本文总计、复现可 Apache APISIX 网关系统的几个历史 CVE 漏洞
APISIX 极简入门
最新发布
油墨香^-^的博客
10-11 547
Apache APISIX 是一款高性能云原生API网关,支持HTTP、gRPC等协议,具备动态热更新和80+插件扩展能力。文章详细介绍了其核心概念(路由、上游、服务等)、Docker快速部署方法、基础操作(创建路由/上游)和常用插件配置(JWT认证、限流等)。同时提供了Kubernetes部署方案、监控日志集成方案及生产环境安全建议,帮助开发者快速掌握这一强大的API网关工具。
Apache Apisix网关系统历史漏洞复现分析_apache apisix 漏洞
2401_86437020的博客
09-04 1379
Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。;;你可以把 Apache APISIX 当做流量入口,来处理所有的业务数据,包括动态路由、动态上游、动态证书、金丝雀发布(灰度发布)、限流限速、抵御恶意攻击、监控报警、服务可观测性、服务治理等。APISIX 系统默认端口默认凭据或口令90809000# 验证安装是否成功【创建路由】通过下面的命令,你将创建一个路由,把请求。
Apache APISIX信息泄露漏洞(CVE-2022-29266)
huayimy的博客
01-11 1768
Apache APISIX信息泄露漏洞(CVE-2022-29266),攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lua-resty-jwt 中的错误逻辑允许将 RS256 令牌发送到需要 HS256 令牌的端点,错误响应中包含原始密钥值。
使用 Apache APISIX 进行集中式身份认证及进阶玩法
ApacheAPISIX的博客
09-28 1434
身份认证在日常生活当中是非常常见的一项功能,大家平时基本都会接触到。比如用支付宝消费时的人脸识别确认、公司上班下班时的指纹/面部打卡以及网站上进行账号密码登录操作等,其实都是身份认证的场景体现。如上图,Jack 通过账号密码请求服务端应用,服务端应用中需要有一个专门用做身份认证的模块来处理这部分的逻辑。请求处理完毕之后,如果使用 JWT Token 认证方式,服务器会反馈一个 Token 去标识这个用户为 Jack。如果登录过程中账号密码输入错误,就会导致身份认证失败。这个场景大家肯定都非常熟悉,这里就不做
Apache APISIX最佳实践(一):初识高性能 API 网关
weixin_41350845的博客
07-28 2230
apisix,下一代的流量网关和微服务网关,这里让你快速了解和掌握。
Apache APISIX 2.12.0 版本发布, 新功能更适配新一年
ApacheAPISIX的博客
01-27 1345
2.11.0 版本发布之后,Apache APISIX 也在即将到来的新春佳节,为大家带来 2022 年第一个带有新功能的版本。在此也算携手新版本给大家拜个早年了! 新功能:更多的 Serverless 集成 还记得在上个版本里,Apache APISIX 增加了对 Azure Function 的支持。而这次新版本中也是用意满满,在功能上又加入了对更多 Serverless 厂商的支持。 如今用户也可以在 Apache APISIX 中结合 AWS Lambda 和 Apache OpenWhisk,
2. 从 Apache APISIX 来看 API 网关的演进——王院生.pdf
07-21
在下一代微服务架构中,Apache APISIX 还有望实现更多创新,例如Serverless场景的支持,使得业务流量可以被快速、无缝地处理。同时,由于其高性能、无状态的特性,APISIX 很容易进行扩容和缩容,适应多云和混合云...
CVE-2022-24112 Apache APISIX 远程代码执行漏洞
m0_71745258的博客
01-29 1709
如图片过大被平台压缩导致看不清的话,需要的话可以扫码,优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享视频配套资料&国内外网安书籍、文档&工具当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。​​需要的话可以扫码,优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
阿里云ACK(Serverless)安装APISIX网关及APISIX Ingress Controller
吴就业
11-12 1446
在k8s上安装apisix全家,通过helm安装很简单,但是会遇到一些问题。
Apache APISIX 默认密钥漏洞(CVE-2020-13945)
weixin_44047654的博客
11-30 1218
Apache APISIX 默认密钥漏洞(CVE-2020-13945)
Apache APISIX远程代码执行漏洞分析
whoami
02-15 2960
0x1 漏洞背景 APISIX 是一个云原生、高性能、可扩展的微服务 API 开源网关,基于OpenResty(Nginx+Lua)和etcd来实现,对比传统的API网关,具有动态路由和热插件加载的特点。 该漏洞存在于 APISIX batch-requests 插件,启用该插件将会导致该漏洞的发生。攻击者可以滥用batch-requests插件发送特制请求,并借此来绕过Admin API的IP限制,最终可能导致rce的产生。 0x2 版本信息 CVE号: CVE-2022-24112 影响
2024年网络安全最全Apache Apisix网关系统历史漏洞复现分析_apache apisix 漏洞
05-03 1692
你可以把 Apache APISIX 当做流量入口,来处理所有的业务数据,包括动态路由、动态上游、动态证书、金丝雀发布(灰度发布)、限流限速、抵御恶意攻击、监控报警、服务可观测性、服务治理等。【创建路由】通过下面的命令,你将创建一个路由,把请求【部署 APISIX Dashboard】Apache APISIX Dashboard 是基于浏览器的可视化平台,用于监控、管理 Apache APISIX。。
Apache APISIX 默认密钥漏洞复现
Tauil的博客
07-31 2860
而check_conf中定义了一个script参数为lua文件类型执行,所以我们只需要将数据包按POST方式提交,并且在消息体中添加含有恶意lua代码的script参数。在其apisix/admin/routes.lua文件中,使用POST方式提交会将数据消息提交给check_conf。,在知道管理员密码的情况下我们可以通过构造一个恶意的router,其中包含恶意LUA脚本执行恶意命令。另外可以使用公开的POC进行漏洞利用,输入命令。打开vulhub,登录网址。,即可执行对应命令语句。...
某靶场CTF题目:利用Apache APISIX默认Token漏洞(CVE-2020-13945)获取Flag
Bruce_xiaowei的博客
06-13 1547
本文记录了利用Apache APISIX默认Token漏洞(CVE-2020-13945)获取CTF靶场flag的过程。通过探测发现目标使用APISIX网关后,验证默认管理员Token有效性,构造恶意路由注入LUA脚本实现命令执行。最终通过系统命令查找并读取/tmp/flag.txt文件成功获取flag。分析指出该漏洞源于硬编码凭据和管理API权限缺陷,并给出修改默认配置、网络隔离等防御建议。案例展示了从漏洞识别到RCE的完整攻击链,对API网关安全配置具有实际警示意义。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

API7.ai 技术团队

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值