流量规则 框架类型 包含 Spring Cloud 和 Dubbo,根据应用实际框架选择。Spring Cloud:仅支持设置URL的Path,例如/getIp。Dubbo:支持选择服务和接口。条件模式 包含 同时满足下列条件 和 满足下列任一条件,根据实际需求选择。条件列表 ...
升级Dubbo版本:使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。在应用程序的配置文件(例如 application....
本文介绍如何使用服务鉴权实现Dubbo应用的访问控制。使用场景 未配置服务鉴权 同一命名空间内的服务可以相互调用,Consumer 1、Consumer 2和Consumer 3默认可以调用Provider的所有Path(Path 1、Path 2和Path 3)。使用MSE网关对Consumer...
为Spring Cloud或Dubbo应用创建灰度规则。接口说明 说明 目前一个应用只能配置一条灰度规则。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息...
Apache Dubbo包含了一个可远程利用的漏洞。Hessian2协议反序列化漏洞,攻击者以篡改协议的方式绕过反序列化黑/白名单。漏洞描述 在Apache Dubbo的默认通信方式中,Dubbo会在传输报文中使用 serialization id 来传递数据体使用的序列化协议...
漏洞评级 中 影响范围 使用以下版本的用户:Dubbo 2.7.0至2.7.17 Dubbo 3.0.0至3.0.11 Dubbo 3.1.0 安全建议 请根据您使用的Dubbo版本,升级到指定版本。若您目前使用Dubbo 2.7.x版本,请升级至Dubbo 2.7.18。若您目前使用Dubbo 3.0.x版本...
QPS下限 QPS按照统计时间窗口计算,Dubbo 2.7版本的应用的统计时间窗口为15秒,其它Dubbo版本和Spring Cloud应用的统计时间窗口为10秒。当在统计时间窗口(例如15秒)内,应用的QPS达到设置的下限后开始进行错误率统计分析。摘除实例比例...
本文介绍如何使用IntelliJ IDEA测试云上Spring Cloud或Dubbo服务接口功能。流程图 使用限制 Alibaba Cloud Toolkit插件为2023.6.1及以上版本。权限说明 为防止对云上环境内的接口误调用,您需要具备以下权限:查看目标服务所在微服务空间的...
漏洞描述 Dubbo服务提供者会检查传入的请求,并且确保该请求的相应序列化类型符合服务器的配置。但是存在一个例外情况,攻击者可以使用该例外情况跳过安全检查(启用时)并使用原生的Java序列化机制触发反序列化动作。漏洞评级 中 影响范围...
漏洞描述 Dubbo服务提供者会检查传入的请求,并且确保该请求的相应序列化类型符合服务器的配置。但是存在一个例外情况,攻击者可以使用该例外情况跳过安全检查(启用时)并使用原生的Java序列化机制触发反序列化动作。漏洞评级 中 影响范围...
漏洞描述 Apache Dubbo支持脚本路由,这将使客户能够将请求路由到正确的服务器。这些规则被加载到配置中心(例如:ZooKeeper、Nacos等)并由客户在发出请求时检索以找到正确的端点。在解析这些规则时,Dubbo客户端将使用JRE ...
本文介绍如何使用Jmeter测试云上Spring Cloud或Dubbo服务接口功能。测试流程 权限说明 为防止对云上环境内的接口误调用,在运行Jmeter前您需具备以下权限。目标应用的读权限:能够选择该应用发起接口访问。接口访问权限:能够对接口进行...
近日,有部分安全厂商报告Dubbo应用默认使用的hessian2序列化方式存在一个CVE-2020-1948的Java反序列化安全漏洞,给用户带来了一定的困扰,这里对该安全漏洞进行说明并提供修复和安全加固方案。漏洞描述 攻击者利用...
Generic Filter远程代码执行漏洞,启用泛化调用的用户,...使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。
漏洞描述 Apache Dubbo支持脚本路由,这将使客户能够将请求路由到正确的服务器。这些规则被加载到配置中心(例如:ZooKeeper、Nacos等)并由客户在发出请求时检索以找到正确的端点。在解析这些规则时,Dubbo客户端将使用JRE ...
您可以通过 SAE 查询已部署的Spring Cloud应用和Dubbo应用的服务列表和服务详情。本文介绍如何查看已部署的应用所提供的服务接口或组件信息,以及应用内部或跨应用之间的服务调用关系。功能入口 在 SAE应用列表 中,在顶部选择目标地域和...
您可以通过EDAS查询部署的Dubbo应用的服务列表和服务详情。使用限制 服务查询包含新版和旧版,您可以在 服务查询 页面切换版本。新版通过Agent查询服务,支持查询EDAS注册中心、MSE托管的注册中心 和自建注册中心(包括ZooKeeper、Nacos、...
Apache Dubbo包含了一个可远程利用的漏洞。Hessian2协议反序列化漏洞,攻击者以篡改协议的方式绕过反序列化黑/白名单。漏洞描述 在Apache Dubbo的默认通信方式中,Dubbo会在传输报文中使用 serialization id 来传递数据体使用的序列化协议...
漏洞描述 Apache Dubbo支持标签路由,这将使客户能够将请求路由到正确的服务器。这些规则被加载到配置中心(例如:ZooKeeper、Nacos等)并由客户在发出请求时检索以找到正确的端点。在解析这些YAML规则时,Dubbo客户端将使用SnakeYAML库...
漏洞描述 Apache Dubbo支持标签路由,这将使客户能够将请求路由到正确的服务器。这些规则被加载到配置中心(例如:ZooKeeper、Nacos等)并由客户在发出请求时检索以找到正确的端点。在解析这些YAML规则时,Dubbo客户端将使用SnakeYAML库...
新的HessianSkeleton是在没有任何序列化工厂配置的情况下创建的,因此Dubbo前期版本所增加的黑白名单在此场景并未起作用,默认情况下HessianSkeleton没有定义允许的或阻止的类定义列表。漏洞评级 低 影响范围 使用Dubbo 2.6.10及更早版本的...
本文介绍如何使用Postman调试云上Spring Cloud或Dubbo服务接口功能。背景信息 云端服务接口一般只能在集群内部访问,不便于服务接口的测试验证。EDAS提供Postman访问能力,在运行Postman脚本时,通过拉起云端测试引擎发起接口调用,可以...
为了帮助您快速体验如何在EDAS中部署微服务应用,EDAS提供了Spring Cloud、Dubbo和HSF微服务应用Demo,同时还提供了可以快速部署应用的默认ECS环境。本文介绍如何在ECS默认环境中部署微服务应用。视频教程 前提条件 已开通EDAS。具体操作,...
漏洞描述 Dubbo中的某些组件将尝试打印输入参数的格式化字符串,这可能导致触发某些恶意定制的Bean的toString方法,从而引发RCE攻击。在最新版本中,我们修复了超时、缓存和其他一些地方的toString调用。漏洞评级 低 影响范围 使用Dubbo 2....
如需升级部署在ECS集群中的Spring Cloud或Dubbo微服务应用,为确保升级操作的安全性,可以使用金丝雀发布(即灰度发布)进行小规模验证,验证通过后再全量升级。本文介绍如何在EDAS控制台灰度发布ECS集群中的应用。前提条件 请确保应用中...
为了帮助您能够快速地在EDAS中部署微服务应用,EDAS提供了Spring Cloud、Dubbo和HSF微服务应用Demo,您可以将应用Demo部署到自定义ECS环境(指定ECS集群)中。本文介绍如何在自定义ECS环境中部署微服务应用。前提条件 已开通EDAS。具体操作...
分布式事务支持以 TCC 模式接入 SOFARPC、Dubbo 和 Spring Cloud 远程服务框架。本文将介绍如何定义接口、实现接口,并针对远程服务框架进行发布服务。定义接口 TCC 参与者需要实现三个方法,分别是一阶段 Try 方法、二阶段 Confirm 方法...
Tracer 针对 Dubbo 框架提供 3 种方式接入,分别针对 Spring Boot 1.x、Spring Boot 2.x 和非 Spring Boot 类型的 Dubbo 应用。请根据您的实际业务需求,选择相应的 Tracer 依赖接入。Spring Boot 1.x!for Spring Boot 1.X-dependency ...
本文介绍Dubbo Hessian在序列化异常时存在的RCE攻击风险以及如何...使用Dubbo 3.0.x的用户,请升级到3.0.5 如果您的应用无法及时修复和验证,可以立即开通并使用阿里云ARMS RASP防护能力,确保您的应用免受攻击。相关内容,请参见 应用安全。
大多数Dubbo用户使用Hessian2作为默认的序列化/反序列化协议,在Dubbo 2.7.7及之前版本存在一个反序列化安全漏洞,会造成远程代码执行(RCE),请Dubbo用户尽快升级版本至2.7.8或2.6.9版本。漏洞等级 中危 影响版本 Dubbo 2.7.0~2.7.7 ...
EDAS提供了Spring Cloud、Dubbo和HSF微服务应用的Demo,旨在协助您快速了解微服务部署流程。本文介绍如何在指定K8s集群环境中以原生方式部署微服务应用Demo。前提条件 已开通EDAS。具体操作,请参见 开通EDAS。已创建K8s集群。具体操作,请...
分布式事务支持以 FMT 模式接入 SOFARPC 和 Dubbo 远程服务框架。本文将介绍如何:配置数据源 创建数据表 针对 SOFARPC 或 Dubbo 进行 发布服务 FMT 模式参与者只需要替换数据源,即可将对该数据源的访问纳入到分布式事务中。一个数据源...
漏洞描述 Dubbo中的某些组件将尝试打印输入参数的格式化字符串,这可能导致触发某些恶意定制的Bean的toString方法,从而引发RCE攻击。在最新版本中,我们修复了超时、缓存和其他一些地方的toString调用。漏洞评级 低 影响范围 使用Dubbo 2....
阿里云VPC内网:阿里云VPC内网压测是指施压机与被压测服务器在相同地域,通过阿里云VPC内网进行压测。更多信息,请参见 阿里云VPC内网压测。压力模式 虚拟用户模式:如果您需要从客户端的角度出发,了解业务系统各节点能同时承载的在线用户...
压测配置 描述 压力来源 本次压测使用的网络类型,包括 公网 和 阿里云VPC内网 两种类型。具体详情,请参见 压力来源(公网和VPC)。并发数 虚拟用户发起请求的个数。例如:100个并发数就是100个虚拟用户同时发起了请求。压测时长 建议压...
本文介绍Dubbo Hessian在序列化异常时存在的RCE攻击风险以及如何...使用Dubbo 3.0.x的用户,请升级到3.0.5 如果您的应用无法及时修复和验证,可以立即开通并使用阿里云ARMS RASP防护能力,确保您的应用免受攻击。相关内容,请参见 应用安全。
新的HessianSkeleton是在没有任何序列化工厂配置的情况下创建的,因此Dubbo前期版本所增加的黑白名单在此场景并未起作用,默认情况下HessianSkeleton没有定义允许的或阻止的类定义列表。漏洞评级 低 影响范围 使用Dubbo 2.6.10及更早版本的...
本文介绍Spring Cloud及Dubbo应用如何按泳道灰度策略进行金丝雀发布。背景信息 K8s类型应用支持按泳道灰度策略进行金丝雀发布。基于全链路流控泳道的环境隔离机制,在应用灰度发布过程中,被添加至灰度泳道的灰度分批实例将与基线版本实例...
本文介绍编号为CVE-2021-43297的Dubbo安全漏洞的成因、评级、影响范围以及安全建议。漏洞描述 在Dubbo Hessian-Lite 3.2.11及之前版本中存在潜在RCE攻击风险。Hessian-Lite在遇到序列化异常时会输出相关信息,这可能导致触发某些恶意定制的...
为了提升您在EDAS上的使用体验,快速入门将介绍如何快速部署Spring Cloud和Apache Dubbo(简称Dubbo)微服务应用Demo到EDAS的不同环境中,每个部署场景的完成时间不超过30分钟。EDAS提供1~5个免费的按量付费应用实例。如果您开通了EDAS按量...