Swagger接口未授权访问漏洞

已于 2023-06-16 23:37:37 修改
阅读量6.4k 收藏 3
点赞数 2
分类专栏: 运维 文章标签: 运维
于 2023-06-16 23:37:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanren312/article/details/131254941
版权

参考博客 https://blog.csdn.net/J_com/article/details/129197536

通过下面链接可以获取到接口信息

http://ip:port/router/v2/api-docs
http://ip:port/v2/api-docs
http://ip:port/swagger-ui.html#/

处理办法,加上enable(false)或者将SwaggerConfig给注释掉,弊端就是你自己也访问不了接口文档

@Configuration
@EnableSwagger2
public class SwaggerConfig {
    
	@Bean
	public Docket createRestApi() {
		return new Docket(DocumentationType.SWAGGER_2)
			.apiInfo(apiInfo())
			.enable(false)   //加上这个
			.select()
			.apis(RequestHandlerSelectors.basePackage("com.lanren312.controller"))
			.paths(PathSelectors.any())
			.build();
	}
}

lanren312
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最佳实践:解决 Swagger API 中的授权访问漏洞
2301_79125642的博客
10-27 982
投的前端开发,base杭州,10.27上午人工第一面,被疯狂抠细节拷打,答的不太好晚上看了一下状态,从AI面试变成了二轮面试进行中所以,这是人工第一面过了,还是。12人一组,一清一北?坏消息,是顺丰的低价,设计岗在深圳那么点钱估计活不下去,xdm我要接吗还是等其他的,本人广东人, 目前满帮三面、615hr面,其他大大小小银行和联通等还在流程中。市场上有很多大厂,虽然打着同一杆大旗,但里面的业务五花八门,人员的福利体系也千差万别,拿到同一个大厂的offer,签约公司却很可能不一样,比如,腾讯、华为、阿里。
swagger 授权访问漏洞修复,这可能是你看到的最好的解决方案!
记录点滴
09-26 1万+
大多数人都是直接禁用swagger,这样一来就给开发人员带来了负担,因为需要解决接口文档的问题,相信大家用惯了swagger文档,都不愿意自己再去手动写接口文档了。swagger授权访问主要的路径如下,根据版本不同或者自定义的路径,可能会有一定的差异,自定义路径的只需要把自己的路径添加进来即可。通过以上方式,即解决了swagger授权访问的问题,又解决了通过token授权访问的问题!怎样才能方便的修复授权访问漏洞,同时又能通过验证正常访问swagger文档呢?的方式对请求进行验证,
网络安全最全寒假学习第二天----批量刷Swagger授权访问漏洞_swagger1,我的阿里手淘面试经历分享
最新发布
2401_84302583的博客
05-14 857
【代码】网络安全最全寒假学习第二天----批量刷Swagger授权访问漏洞_swagger1,我的阿里手淘面试经历分享。
授权漏洞
Dasdwer的博客
03-24 6329
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
一文解决:Swagger API 授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 2万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,授权访问可能会导致安全漏洞。本文将介绍如何解决问题。
Swagger API 信息泄露漏洞【原理扫描】 怎么修补漏洞
weixin_42596011的博客
02-09 3665
首先,你需要检查 Swagger API 中的所有信息泄露漏洞,然后按照安全性的要求进行修补和更新。其次,你应该检查 Swagger API 中的权限管理,并确保只有授权的用户才能访问 API 接口。最后,你应该定期扫描 Swagger API,以确保它们仍然处于安全状态。 ...
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
在SpringBoot中通过配置Swagger权限解决Swagger授权访问漏洞
沉淀、分享、成长,让自己和他人都能有所收获!
02-26 7610
在本文中,我们详细讨论了在SpringBoot项目中解决Swagger权限漏洞的方法。通过配置和代码示例,我们可以有效地保护我们的系统免受潜在的安全威胁。希望这些技巧对你有所帮助!
Swagger API漏洞利用-JavaScript开发
05-26
尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易引入外网的SSRF漏洞 检测 API认证绕过漏洞 在...
Burpsuite-UAScan:burpsuite插件:被动进行授权访问扫描
05-23
Burpsuite插件:被动方式进行授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在授权访问(越权)问题 如果扫描到授权访问的URL会显示到空白区域中 采用...
swagger-hack:自动化爬取并自动测试所有swagger-ui.html显示的接口
03-05
尽量考虑到了所有可能的传参格式,实际测试只有少数几个会500或400响应需要手动修改一下,其余都是401或200 200就是授权访问接口了,可以进一步做其他诸如sqli等测试运行时然后: 所有测试结果都存储在csv中: ...
rest api 接口测试工具
03-01
4. 安全性检查:测试API的安全漏洞,如授权访问、敏感信息泄露等。 二、Advanced REST Client (ARC) 简介 Advanced REST Client是Google Chrome浏览器的一个扩展,它是一个强大的REST API测试工具。版本v...
【解决问题】在SpringBoot中通过配置Swagger权限解决Swagger授权访问漏洞
招财猫_Martin 的专栏
10-08 5099
Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。若存在相关的配置缺陷,攻击者可以在授权的状态下,翻查Swagger接口文档,得到系统功能API接口的详细参数,再构造参数发包,通过回显获取系统大量的敏感信息。在一个项目的实施过程中,客户通过安全检测发现了系统中swagger进行授权导致调取到了项目上全部的api接口,并在接口中找到了默认的超级用户和密码,并通过修改超级用户密码成功登录到业务系统。以上2个方法选择其一,修改完成后,重启业务系统。
寒假学习第二天----批量刷Swagger授权访问漏洞_swagger1(1)
2401_84239625的博客
04-11 895
Actuator 是 Spring Boot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。
Laykefu客服系统 任意文件上传漏洞,2024年最新34岁程序员年薪50w
2401_83739632的博客
04-15 319
Laykefu客服系统/admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求头中Cookie中的”user_name“不为空时即可绕过登录系统后台,恶意攻击者可利用此问题,上传后门文件,获取服务器权限。Laykefu 是一款基于workerman+gatawayworker+thinkphp5搭建的全功能webim客服系统,旨在帮助企业有效管理和提供优质的客户服务。
Swagger授权访问漏洞
qq_48550824的博客
11-22 316
自存用。
Swagger授权漏洞危害
05-19
Swagger是一种API文档自动生成工具,可以帮助开发人员和测试人员快速了解API的功能和接口规范。但是,如果API的Swagger文档没有被正确的保护和授权,就可能导致授权访问漏洞的出现。 授权访问漏洞可能会导致以下危害: 1. 敏感数据泄漏:攻击者可以通过Swagger文档查看API的敏感信息,比如用户名、密码等。 2. 授权访问:攻击者可以利用Swagger文档的信息,直接调用API接口,执行授权的操作,比如修改、删除数据等。 3. 拒绝服务攻击:攻击者可以通过Swagger文档发送大量请求到API接口,导致系统负载过大,从而拒绝服务。 因此,对于API的Swagger文档,必须进行安全设置和访问授权,避免授权访问漏洞的出现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值