ApacheAPISIXDashboardAPI权限绕过导致RCE（CVE-2021-45232）0x00漏洞信息ApacheAPISIX是一个动态、实时、高性能的API网关，提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。ApacheAPISIXDashboard使用户可通过前端界面操作ApacheAPISIX。该漏洞的存在是由于ManagerAPI中的错误。ManagerAPI在gin框架的基础上引入了droplet框架，所有的API和鉴权中间件都是基于droplet框架开发的。但是有些API直接使用了框架gin的接口，从而绕过身份验证。0x01影响范围

ApacheAPISIX是Apache软件基金会下的顶级项目，由API7.ai开发并捐赠。它是一个高性能的云原生API网关，具有动态、实时等特点。APISIX网关可作为所有业务的流量入口，为用户提供了丰富的功能，包括动态路由、动态上游、动态证书、A/B测试、灰度发布（金丝雀发布）、蓝绿部署、限速、防攻击、指标收集、监控报警、可观测性和服务治理等。基于Nginx和OpenResty构建的APISIX，通过Lua语言扩展了其功能，具有高性能和低延迟的特点，是构建现代微服务架构的理想选择。接下来本文将介绍如何安装并运行APISIX!APISIX基础概念上游（Upstream）上游是指应用层服务或节点

文章目录前言CVE-2020-13945默认api令牌CVE-2021-45232未授权接口2.1默认账户密码导致RCE2.2未授权访问api接口RCECVE-2022-24112地址限制绕过CVE-2022-29266JWT令牌伪造4.1漏洞源码简析与修复4.2漏洞环境搭建与复现总结前言ApacheAPISIX是一个动态、实时、高性能的API网关，提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。开源项目地址：https://github.com/apache/apisix；官方文档地址：https://apisix.apache.org/zh/docs/a

etcd配置就是官方example，很多文档都是集群k8s的，不能照搬，记录下官方试例的过程,etcd配置如下：version:"3"services:etcd:image:bitnami/etcd:3.4.15restart:alwaysvolumes:-./etcd_data:/bitnami/etcdenvironment:ALLOW_NONE_AUTHENTICATION:"yes"ETCD_ADVERTISE_CLIENT_URLS:"http://etcd:2379"ETCD_LISTEN_CLIENT_URLS:"http://0.0.0.0:2379"ports:-"2379:

环境：APISIX3.4.1+JDK11+SpringBoot2.7.12一.APISIX简介APISIX网关作为所有业务的流量入口，它提供了动态路由、动态上游、动态证书、A/B测试、灰度发布（金丝雀发布）、蓝绿部署、限速、防攻击、收集指标、监控报警、可观测、服务治理等功能。为什么使用APISIX？高性能和可扩展性：APISIX是基于Nginx和OpenResty构建的，具有高性能和可扩展性。它支持动态路由、限流、缓存、认证等功能，并可以通过插件扩展其他功能。社区活跃，易于使用：APISIX的社区非常活跃，提供了完整的文档，使其易于使用。此外，它也支持类似于Kubernetes中的自动化部署，

本文将为你介绍ApacheAPISIX的elasticsearch-logger插件的相关信息，并通过此插件获取APISIX的实时日志。背景信息ApacheAPISIX是一个动态、实时、高性能的API网关，提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。作为API网关，ApacheAPISIX不仅拥有丰富的插件，而且支持插件的热加载。Elasticsearch是一个基于Lucene库的搜索引擎。它提供了分布式、RESTful风格的搜索和数据分析引擎，具有可扩展性、可分布式部署和可进行相关度搜索等特点，能够解决不断涌现出的各种用例。同时还可以集中存储用户数据

     简而言之，"金丝雀"发布CanaryReleases的理念就是只向一部分用户发布新的软件版本，分析结果，然后决定是否继续发布。如果结果与预期不符，就退回；如果结果与预期相符，就增加用户数量，直到所有用户都从新版本中受益。在这篇文章中，我将简要介绍这一介绍的细节，解释定义分数的不同方法，并展示如何使用ApacheAPISIX执行该操作。    "金丝雀"发布简介    金丝雀"一词源于煤炭开采业。采矿时，释放有毒气体的情况并不少见。在狭小的封闭空间内，这可能意味着快速死亡。更糟糕的是，这些气体可能是无味的，因此矿工会吸入这些气体，直到来不及离开。一氧化碳在煤矿中很常见，人类的感官无法检

什么是全链路灰度？微服务体系架构中，服务之间的依赖关系错综复杂，有时某个功能发版依赖多个服务同时升级上线。我们希望可以对这些服务的新版本同时进行小流量灰度验证，这就是微服务架构中特有的全链路灰度场景，通过构建从网关到整个后端服务的环境隔离来对多个不同版本的服务进行灰度验证。在发布过程中，我们只需部署服务的灰度版本，流量在调用链路上流转时，由流经的网关、各个中间件以及各个微服务来识别灰度流量，并动态转发至对应服务的灰度版本。如下图：上图可以很好展示这种方案的效果，我们用不同的颜色来表示不同版本的灰度流量，可以看出无论是微服务网关还是微服务本身都需要识别流量，根据治理规则做出动态决策。当服务版本发

背景云原生时代下，企业逐渐向云上迁移，越来越多的应用和服务都在进行容器化改造，服务之间的流量也开始爆发性的增长。为了能高效地管理这些规模庞大的API，API网关开始在技术领域大展身手。用户除了需要API网关提供请求代理、熔断限流、审计监控等常规能力外，更多开始关注云原生兼容性、支撑场景的多样性，以及更好的性能及稳定性。在这样的背景下，以ApacheAPISIX和Kong等为代表的云原生API网关项目得到了越来越多开发者的青睐。ApacheAPISIX是一个云原生、高性能、可扩展的API网关，由深圳支流科技捐赠给Apache基金会，并于2020年7月从Apache孵化器毕业，成为Apache软件

白泽平，ApacheAPISIXPMC成员，目前主要在APISIX和周边项目APISIXDashboard上进行相关贡献。本文整理自阿里云「中间件开发者Meetup」中的议题分享。ApacheAPISIX是一个高性能的、动态的、实时的API网关，它是基于NGINX和OpenResty进行实现的。作为一个脱胎于NGINX和OpenResty的软件，APISIX天然继承了NGINX的性能和OpenResty的灵活性，因此，APISIX的性能在一众API网关中都是数一数二的。细数ApacheAPISIX优势架构取长补短具体来说，像NGINX+Linuxepoll提供了高性能的网络IO基础设施，这些是