Swagger接口安全测试

最新推荐文章于 2024-03-13 23:15:24 发布
最新推荐文章于 2024-03-13 23:15:24 发布
阅读量1k 收藏 19
点赞数 23
文章标签: 接口安全测试 接口安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/136231593
版权
基本介绍

Swagger是一种用于描述、构建和使用RESTful API的开源框架,它提供了一套工具和规范,帮助开发者设计、文档化和测试API以及生成客户端代码和服务器存根,Swagger的核心组件是OpenAPI规范(以前称为Swagger规范),它是一个用于定义和描述API的规范,OpenAPI规范使用JSON或YAML格式,包括API的路径、参数、响应、错误处理等信息,它提供了一种标准的方式来描述API的结构和行为

版本介绍

Swagger是一个持续发展的项目,经历了以下几个主要版本的演变:

  • Swagger 1.0:Swagger最初的版本,它提供了一种基本的API描述语言和工具集,用于定义和文档化RESTful API,Swagger 1.0使用JSON格式的规范并提供了一些基本的注解和工具来生成API文档

  • Swagger 2.0:Swagger 2.0引入了一些重要的改进和扩展,它是Swagger项目的一个重要里程碑,最显著的变化是引入了OpenAPI规范的概念(当时称为Swagger规范),它提供了一种更强大、更灵活的方式来定义和描述API,Swagger 2.0支持JSON和YAML两种格式的规范并提供了更多的注解和工具来生成API文档、客户端代码和服务器存根

  • OpenAPI 3.0:为了进一步推进API描述的标准化,Swagger项目在Swagger 2.0之后演化为OpenAPI规范,OpenAPI 3.0是一个独立的规范,它与Swagger 2.0兼容但引入了一些重要的改进和新功能,OpenAPI 3.0支持更多的数据类型、响应内容协商、请求体和响应的内容协商、安全定义等,它还引入了组件的概念,用于更好地组织和重用规范中的各个部分

  • Swagger UI:Swagger UI是一个用于可视化展示和测试API文档的工具,它可以根据Swagger或OpenAPI规范自动生成一个交互式的API文档界面,让开发者可以方便地浏览API的路径、参数、响应等信息并进行API调试和测试

应用界面

Swagger系统大致如下所示:

点击查看接口时会给出接口的调用示例,包括参数、可能出现的回显状态等

版本鉴别

我们在访问swagger的时候可以留意一下swagger的接口文件信息,其中可以鉴别当前的swagger的版本类别,下面的版本为swagger 2.0版本:

下面的版本为openapi 3.0

安全评估
未授权类

Swagger文件给出了系统的完整的接口列表信息,包含接口路径、参数信息、回显状态情况等,渗透测试人员可以根据接口构造请求数据报文对接口的安全测试,例如:接口的未授权访问等,所以对于企业而言Swagger文件无疑是一个资产暴露点,对于此类系统建议设置访问权限,仅限于测试阶段供测试人员进行测试使用,或者将其调至内网访问,不建议映射到外网去,从而降低这类信息比恶意利用的风险

自动化类

在针对上面的接口测试时我们有一个很头疼的点就是需要挨个去手动测试一遍所有的swagger接口,这是一个非常耗时的工作量,所以我们思考的是如何对其实现自动化的安全评估,初步的流程如下:

  • 获取接口文件

  • 接口导入工具

  • 工具发包测试

接口文件

接口文件的获取我们一般可以直接通过访问Swagger页面获取到,例如:

接口导入

这里我们选择postman接口测试工具(https://www.postman.com/downloads/)

注册账户

完成登录之后进入到主界面并导入文件

然后执行导入操作:

随后我们可以在API界面看到完整的API接口列表:

环境设置

初始状态下我们导入工具后baseUrl是一个空值:

此时我们需要设置全局的环境变量:

填写如下信息设置变量名为test,其值设置为"http://49.75.27.150:8020/swagger/"

随后选择刚刚设置的环境"test"

随后我们在项目当中即可看到baseUrl被替换

自动化类

随后我们设置一个代理

发送请求后在burpsuite中收到请求记录,说明代理成功

随后我们直接运行

随后在burpsuite中收到请求记录:

此时我们可以接入Xray进行漏洞的挖掘,在burpsuite中再进行一层代理将请求代理到Xray中去

然后在xray中开启监听开始自动化对所有api接口进行扫描

防御措施

禁止将Swagger接口外置到外网环境中

文末小结

本篇文章我们主要介绍了Swagger接口的基本概念、发展历史、未授权访问的检测方式、自动化安全测试的方法、安全防御措施等

FLy_鹏程万里
关注
  • 23
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
swagger-hack:自动化爬取并自动测试所有swagger-ui.html显示的接口
03-05
招摇 在测试中偶尔会碰到swagger附加的常见的对齐方式: 有的同轴接口特别多,每一个都手动去试根本试不过来随后用python写了个脚本自动爬取所有接口,配置好传参发包访问 原理是首先抓取获取到一些标准和对应的文档地址而后对每个标准下的接口文档进行解析,构造请求包,获取响应 尽量考虑到了所有可能的传参格式,实际测试只有少数几个会500或400响应需要手动修改一下,其余都是401或200 200就是未授权访问接口了,可以进一步做其他诸如sqli等测试运行时然后: 所有测试结果都存储在csv中: 欢迎大家关注稻草人安全团队,后续有更多技术文章,工具分享等
Swagger使用详解
keke的博客
10-08 2227
Swagger使用详解
干货 |网络安全中对 Swagger的多种测试方式
最新发布
weixin_66717977的博客
03-13 1050
网络安全/渗透测试swagger安全测试
universal-framework:一套轻量级的权限系统,主要包括用户管理,角色管理,部门管理,菜单管理,SQL监视,定时任务,参数管理,字典管理,文件上传,系统日志,文章管理,APP模块等功能。拥有多数据源,数据权限,Swagger支持,Redis缓存动态开启与关闭,统一异常处理,多模块,云存储,代码生成器等技术特点
03-23
Springboot快速开发 项目描述 通用快速开发框架是一套轻量级的权限系统,主要包括用户管理,角色管理,部门管理,菜单管理,SQL监视,定时任务,参数管理,字典管理,文件上传,系统日志,文章管理,APP模块等功能。还拥有多数据源,数据权限,Swagger支持,Redis缓存动态开启与关闭,统一异常处理,多模块,云存储,代码生成器等技术特点。 技术选型 核心框架:Spring Boot 2.0.2 安全框架:Apache Shiro 1.4 首先框架:Spring MVC 5.0.6 持久层框架:MyBatis 3.4.6 + MybatisPlus 2.1.9 分布式部署:Quartz 2.3 数据库连接池:德鲁伊1.1.10 分布式缓存:Redis 4.0.9 日志管理:SLF4J 1.7,Log4j 单元测试:JUnit 4.12 API接口文档:Swagger 2.7.0 页面
swagger接口 token认证 redis缓存实现.rar_carsj4_redis token_swagger 测试tok
09-20
很多朋友开发接口都没有保证安全性,这里教大家怎么通过swagger实现对外开放接口,并且通过token认证,token通过redis缓存存储。
百度地图开发java源码-jbot:代码生成器(swagger+springboot+spring+mybatis)
06-06
百度地图开发java源码 java项目生成器 项目介绍 jbot项目可以一键生成 swagger + springBoot + spring + mybatis 项目 项目结构 jbot ├── aop ── 切面组件 ├── common ── 公共组件 ├── configs ── 配置组件 ├── dao ── DAO ├── exception ── 异常处理组件 ├── model ── Model ├── rest ── Rest ├── security ── 安全控制组件 ├── service ── Service ├── Utils ── 工具类组件 ├── work ── 模板处理核心组件 技术选型 后端技术 技术 名称 Spring Boot 容器 MyBatis ORM框架 Druid 数据库连接池 Swagger2 接口测试框架 Maven 项目构建管理 lombok 代码简化工具 logstash 日志管理 mapper 通用mapper pagehelper 分页插件 Freemarker 模板引擎 前端技术 技术 名称 jQuery 函式库 Boots
swagger接口测试
qq_53972532的博客
10-11 662
Swagger 是一个用于设计、构建、文档化和使用 RESTful Web 服务的开源工具。它提供了一个交互式的、用户友好的界面,用于描述、文档化和测试 RESTful API。我们使用的工具是knife4j,是一个将swagger增强的一个工具。
基于swagger进行的接口测试(根据实际项目分享)
weixin_45726876的博客
09-17 4247
最近在做一个鹤山水务支护运维系统,该项目基本的情况是:水务厂设备-组态王-软件平台,总得来说就是这样的情况在这个项目中,我主要负责的是组态王的组态搭建、软件的测试工作(功能、接口、白盒)。组态编程方面的下次再说,本文主要是说一下关于白盒测试。 swagger是前后端分离开发的一个重要辅助工具,这里集合了项目的所有接口,包含了四大要素:请求方式、请求地址、请求参数、返回结果,支持在线做接口测试,这也就满足了在线做白盒测试的条件。 好了,先看看swagger的界面吧 以上就是我在做的鹤山水务项目的swagge
swagger接口测试工具介绍及使用
sunzixiao的博客
06-21 6748
在web开发中需要对接口进行测试,这时就需要用到测试工具。一般使用较多的测试工具有swagger(丝袜哥)和postman(邮递员)。在这里来总结一下swagger的使用方法和步骤。Swagger 官网地址:https://swagger.io/Swagger 有了丝袜哥,只需要在类或者接口等地方加上几个注解,然后在浏览器通过对应的url访问swagger的ui界面,这个界面上会展示接口的所有信息,点击对应的接口即可进行测试,非常方便,界面也做的非常赏心悦目。 Spring,迅速将Swagger规范纳入自身
swagger使用详解】『CSDN精选』java如何集成swagger进行接口测试【博主亲测有效】
赏樱看雪撸代码
04-07 1627
java集成swaggerswagger测试接口swagger的使用,前后端分离测试接口,如何引入swagger。No operations defined in spec! 解决方法,swagger报错csrf404
基于Swagger接口自动化测试
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
11-15 2648
原始时代,可能在工程开发前夕,会去创建接口文档,或者去修改前辈的接口文档。日复一日的你,肯定会有遗漏,那就是忘记维护接口文档(PS:忘记写文档就扣工资?)近现代,你可以用Swagger自动帮你生成接口文档(是不是很神奇?)这就是技术的进步!但是!你必须要遵守他的规范(一提规范就头大)!Swagger 接口项目Swagger 接口管理Swagger 测试用例顾名思义,业务工程项目装着工程接口,在业务工程接口下,测试可以创建业务的接口测试用例(是不是很绕嘴?
word源码java-SpringCloudDemo:测试SpringCloud各组件
06-05
word源码java SpringCloudDemo 简述: 基于Spring Cloud搭建的综合Demo,整个项目中包含了以下组件或库的使用: Spring Cloud组件:Eureka、Config Server、Config Clients、Netflix Zuul、Sleuth Zipkin、Openfeign MQ:RabbitMQ、ActiveMQ Office:Docx4j、POI Data Store:MySQL、Redis、EhCache、Elastic Search Job:Elastic Job 其他:Javassist、Swagger、JavaMelody 各module简要说明 base 实体基类 mybatis generator配置模板 yml公共配置 pom公共模块 base-config 微服务配置中心 包含配置中心安全配置 base-eureka 服务注册中心 包含agent代码替换功能测试 base-gateway 服务网关 集成shiro,redis 提供接口调用统计样板 java-agent-demo javassist动态编程测试 提供测试
API接口文档利器:Swagger接口调试利器:Postman
m0_63615119的博客
08-23 1391
Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务它的主要作用是:使得前后端分离开发更加方便,有利于团队协作接口的文档在线自动生成,降低后端开发人员编写接口文档的负担功能测试Spring已经将Swagger纳入自身的标准,建立了Spring-swagger项目,现在叫Springfox。通过在项目中引入Springfox ,即可非常简单快捷的使用Swagger
Swagger——接口文档自动生成和测试
qq_59708493的博客
12-02 466
Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务(它的主要作用是:使得前后端分离开发更加方便,有利于团队协作接口的文档在线自动生成,降低后端开发人员编写接口文档的负担功能测试Spring已经将Swagger纳入自身的标准,建立了Spring-swagger项目,现在叫Springfox。通过在项目中引入Springfox ,即可非常简单快捷的使用Swagger
Swagger_测试工具_2小时精通
weixin_43206491的博客
05-24 914
什么是前后端分离 后端时代: ​ 前端只需要管理静态页面,大部分项目还是交由后端完成,以前的JavaWeb项目大多数都是java程序使用模板引擎,又当爹又当妈,又搞前端(ajax/jquery/js/html/css等等),又搞后端(java/mysql/oracle等等)。 前后端分离: ​ 核心思想是前端html页面通过ajax调用后端的restuful api接口并使用json数据进行交互。 后端:后端控制层,服务层,数据访问层 前端:前端控制层,视图层 前端在运行时,使用伪造数据(JSON格式)
Swagger接口测试
weixin_49023961的博客
09-08 1135
前后端分离前端 -> 前端控制层、视图层后端 -> 后端控制层、服务层、数据访问层前后端通过API进行交互前后端相对独立且松耦合产生的问题前后端集成,前端或者后端无法做到“及时协商,尽早解决”,最终导致问题集中爆发解决方案首先定义schema [ 计划的提纲 ],并实时跟踪最新的API,降低集成风险Swagger号称世界上最流行的API框架Restful Api 文档在线自动生成器 =>API 文档 与API 定义同步更新直接运行,在线测试API。
Swagger工具的作用及使用方法
qq_45880237的博客
08-08 936
Swagger和Postman都是常用的API开发和测试工具,Swagger使开发人员在设计和开发API时,能够更好地进行接口文档的编写、展示和管理,以及提供在线接口测试的能力
一文4000字从0到1手把手教你基于Swagger实现接口自动化测试
11-15 1108
介绍完数据流转,自然该轮到形影不离的模块使用了,此部分多为测试者维护测试用例之功能科普。按照之前所讲,数据流转,项目为先,对于使用Swagger项目功能模块是优先讲解的, 数据同步完成后,测试者可根据此模块获取数据同步后不同环境不同分支下最新的工程状态信息。根据此页面功能,可进入该工程内部Swagger文档模块,此模块亦可查询最新的服务接口数据信息,测试者操作服务API进行创建测试用例©,打标“测试”√和“无需测试”状态X。
Swagger接口泄露漏洞修复
08-08
Swagger是一种用于描述API的开源框架,它使用OpenAPI规范来定义API的端点、请求、响应、模式等。Swagger接口泄露漏洞是指在使用Swagger描述API时,由于未正确配置访问控制或未实施安全措施,导致API接口被不授权的人员访问和利用,从而导致系统安全风险。 为了修复Swagger接口泄露漏洞,可以采取以下措施: 1. 设置访问控制:通过设置访问控制,可以确保只有授权的人员能够访问API接口。可以使用身份验证机制(如OAuth)或IP地址白名单的方式来进行访问控制。 2. 使用HTTPS:通过使用HTTPS加密通信,可以防止接口被窃听和篡改。 3. 隐藏敏感信息:在Swagger文档中可以隐藏敏感信息,如API密钥或数据库访问信息。 4. 使用API网关:使用API网关可以在访问API接口之前进行身份验证和授权,并对请求进行限流和熔断等操作,从而提升系统的安全性和可用性。 通过执行上述措施,可以有效修复Swagger接口泄露漏

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值