swagger 未授权访问漏洞修复,这可能是你看到的最好的解决方案!

置顶 已于 2023-09-27 11:13:35 修改
阅读量3.7w 收藏 33
点赞数 5
分类专栏: spring boot 漏洞修复 文章标签: java 开发语言 swagger swagger未授权访问
于 2023-09-26 15:22:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LDY1016/article/details/133309749
版权

       通过渗透测试发现springboot项目中存在swagger 未授权访问的漏洞,怎样才能方便的修复未授权访问的漏洞,同时又能通过验证正常访问swagger文档呢?本文给出了解决方案,这可能是你看到的最好的解决方案!

       大多数人都是直接禁用swagger,这样一来就给开发人员带来了负担,因为需要解决接口文档的问题,相信大家用惯了swagger文档,都不愿意自己再去手动写接口文档了。

        swagger未授权访问主要的路径如下,根据版本不同或者自定义的路径,可能会有一定的差异,自定义路径的只需要把自己的路径添加进来即可。

1、/swagger-resources
2、/v2/api-docs
3、/swagger-ui.html

        本人提供的解决方案就是通过过滤器的方式对请求进行验证,请求的时候需要在链接后面加上我们自定义的token参数,通过验证token判断是否是合法的访问,注意,添加过滤器后需要在启动类上加上@ServletComponentScan注解才能生效,具体实现如下:

/**
 * 解决swagger 未授权访问漏洞,需要在启动类加@ServletComponentScan注解
 * 
 * @author lidongyang
 * @date 2023/9/14 16:43
 * @since V1.0.0
 */
@Slf4j
@WebFilter(urlPatterns = {"/swagger-resources", "/v2/api-docs","/swagger-ui.html"}, filterName = "swaggerFilter")
public class SwaggerFilter implements Filter {
    /**
     * 访问swagger的token,默认123@abc,根据自己设置的值替换即可
     */
    @Value("${swagger.token:123@abc}")
    private String swaggerToken;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        log.info("doSwaggerFilter,url:{}", request.getRequestURL());
        // 请求来源地址
        String referer = request.getHeader("referer");
        log.info("referer is {}", referer);

        /**
         * 1、请求来源地址为空,判断token是否匹配 2、请求来源地址不为空,判断来源地址是否包含正确的token
         */
        if (StringUtils.isBlank(referer)) {
            // 获取token
            String token = request.getParameter("token");
            log.info("token is {}", token);
            // 来源地址为空,判断token是否匹配
            if (!StringUtils.equals(swaggerToken, token)) {
                log.error("禁止未授权访问,url:{}", request.getRequestURL());
                response.setStatus(403);
                servletResponse.setContentType("application/json");
                servletResponse.setCharacterEncoding("UTF-8");
                servletResponse.getWriter().write("禁止未授权访问");
                return;
            }
        } else if (!referer.contains(swaggerToken)) {
            log.warn("禁止未授权访问,url:{}", request.getRequestURL());
            response.setStatus(403);
            servletResponse.setContentType("application/json");
            servletResponse.setCharacterEncoding("UTF-8");
            servletResponse.getWriter().write("禁止未授权访问");
            return;
        }


        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {
        Filter.super.destroy();
    }
}

        通过添加如上所示的过滤器后,我们就可以通过在路径后面加上token参数进行访问文档地址了,如:127.0.0.1:8000/swagger-ui.html?token=123@abc

        没有加token参数或者token参数匹配不上的请求会直接返回“禁止未授权访问”。这里的token尽量设置复杂一点,token注意保密不要外泄哦!

        通过以上方式,解决了swagger未授权访问的问题,还不影响开发人员正常使用swagger文档!

咚咚阳
关注
专栏目录
swagger修复建议(Swagger接口泄露漏洞修复)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
05-16 7968
目前遇到无法生成swagger的问题,总结了两种原因及解决方案,原因可能是接口缺少http属性和命名冲突。Swagger是一种用于描述API的开源框架,它使用OpenAPI规范来定义API的端点、请求、响应、模式等。Swagger接口泄露漏洞是指在使用Swagger描述API时,由于正确配置访问控制或实施安全措施,导致API接口被不授权的人员访问和利用,从而导致系统安全风险。
swaggerui授权访问漏洞笔记
enthan809882的博客
06-13 1万+
swaggerui授权访问漏洞笔记
针对Swagger接口泄露授权的初探
最新发布
2301_80127209的博客
08-16 1467
这篇文章呢主要是给师傅们分享下最近在学习的Swagger相关的漏洞,针对于Swagger接口授权访问已经常见的敏感信息文件泄露的漏洞来给大家分享下。其中在挖企业src的是时候,其实在利用灯塔ARL在对其域名或者站点扫描时候,Swagger接口泄露的漏洞也是蛮常见的。
一文解决:Swagger API 授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 3万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,授权访问可能会导致安全漏洞。本文将介绍如何解决问题。
常见授权访问漏洞
weixin_60838266的博客
07-17 2127
由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可以执行任意方法,从而导致远程命令执行漏洞。受影响的版本包括 5.0 和 5.1 版本(即默认情况下)。
最佳实践:解决 Swagger API 中的授权访问漏洞
han_xue_feng的博客
10-27 821
投的前端开发,base杭州,10.27上午人工第一面,被疯狂抠细节拷打,答的不太好晚上看了一下状态,从AI面试变成了二轮面试进行中所以,这是人工第一面过了,还是。12人一组,一清一北?坏消息,是顺丰的低价,设计岗在深圳那么点钱估计活不下去,xdm我要接吗还是等其他的,本人广东人, 目前满帮三面、615hr面,其他大大小小银行和联通等还在流程中。市场上有很多大厂,虽然打着同一杆大旗,但里面的业务五花八门,人员的福利体系也千差万别,拿到同一个大厂的offer,签约公司却很可能不一样,比如,腾讯、华为、阿里。
K8S中部署的Kuboard修复swagger授权访问漏洞
a492391142的博客
07-12 383
在kuboard-v3.yaml文件下ConfigMap部分的data模块下新增"KUBOARD_DISABLE_SWAGGER: ‘true’"参数后重启Kuboard以关闭swagger。:因授权访问swagger,攻击者可获取文件读取相关的接口,可能存在任意文件下载,相关的业务访问可能存在授权访问等问题。
在SpringBoot中通过配置Swagger权限解决Swagger授权访问漏洞
沉淀、分享、成长,让自己和他人都能有所收获!
02-26 8694
在本文中,我们详细讨论了在SpringBoot项目中解决Swagger权限漏洞的方法。通过配置和代码示例,我们可以有效地保护我们的系统免受潜在的安全威胁。希望这些技巧对你有所帮助!
【解决问题】在SpringBoot中通过配置Swagger权限解决Swagger授权访问漏洞
招财猫_Martin 的专栏
10-08 5873
Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。若存在相关的配置缺陷,攻击者可以在授权的状态下,翻查Swagger接口文档,得到系统功能API接口的详细参数,再构造参数发包,通过回显获取系统大量的敏感信息。在一个项目的实施过程中,客户通过安全检测发现了系统中swagger进行授权导致调取到了项目上全部的api接口,并在接口中找到了默认的超级用户和密码,并通过修改超级用户密码成功登录到业务系统。以上2个方法选择其一,修改完成后,重启业务系统。
Swagger接口泄露漏洞修复
weixin_35749545的博客
12-19 7282
Swagger是一种用于描述API的开源框架,它使用OpenAPI规范来定义API的端点、请求、响应、模式等。Swagger接口泄露漏洞是指在使用Swagger描述API时,由于正确配置访问控制或实施安全措施,导致API接口被不授权的人员访问和利用,从而导致系统安全风险。 为了修复Swagger接口泄露漏洞,可以采取以下措施: 设置访问控制:通过设置访问控制,可以确保只有授权的人员能够访问A...
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
网安漏洞知识系列:spring boot授权访问Swagger漏洞处理
weixin_54626591的博客
07-19 970
spring boot授权访问Swagger漏洞处理
详细分析 Bladex中的swagger-resources资源授权访问的解决方法
码农研究僧的博客
07-27 510
有如下方式,网关过滤、去除配置以及修改代码还有隐藏彩蛋(附Demo),推荐阅读
springboot项目关闭swagger防止漏洞扫描
cuper_的博客
04-12 3680
项目彻底关闭swagger以应对安全扫描
spring boot授权访问Swagger漏洞处理
yudaxiaye的博客
06-20 1万+
无需修改源码,处理spring boot授权访问Swagger漏洞处理
网站存在授权访问漏洞--Swagger
Gemini1995的博客
07-12 1025
swagger 相关禁用
swagger接口需要权限验证解决方案
ybb_ymm的专栏
03-15 1万+
背景:当我们在使用swagger的情况下,经常会遇到需要授权或者请求带有token才可以访问接口,这里我们就是解决授权问题。 废话不多说,我们直接给出解决方案,具体代码如下: import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import springfox.documentation.builders.ApiInfoBuild
swagger 授权访问漏洞修复
12-21
Swagger授权访问漏洞可以通过以下方法修复,并确保正常访问Swagger文档: 1. 禁用Swagger UI的默认URL路径:可以通过更改Swagger UI的URL路径来防止授权访问。可以将Swagger UI的URL路径更改为一个不容易被猜测到的路径,例如将默认路径`/swagger-ui.html`更改为`/random-path/swagger-ui.html`。 2. 添加访问控制:可以通过在应用程序中添加访问控制来修复授权访问漏洞。可以使用身份验证和授权机制来限制对Swagger UI的访问。例如,可以要求用户进行身份验证并授予访问Swagger UI的权限。 3. 使用安全代理或反向代理:可以使用安全代理或反向代理来保护Swagger UI免受授权访问。安全代理可以拦截对Swagger UI的请求,并根据特定的访问规则进行验证和授权。 4. 配置Swagger文档的访问权限:可以通过配置Swagger文档的访问权限来修复授权访问漏洞。可以将Swagger文档的访问权限设置为仅限于授权用户或特定IP地址。 5. 更新Swagger版本:如果发现Swagger存在已知的安全漏洞,可以尝试升级到最新版本的Swagger框架,以修复这些漏洞。 请注意,以上方法仅提供了一些常见的修复授权访问漏洞的方法,具体的修复方法可能因项目的具体情况而有所不同。在实施任何修复方法之前,请确保对项目的影响进行充分评估,并遵循最佳实践和安全建议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值