Swagger接口未授权访问漏洞

已于 2023-06-16 23:37:37 修改
阅读量7.1k 收藏 4
点赞数 2
分类专栏: 运维 文章标签: 运维
于 2023-06-16 23:37:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanren312/article/details/131254941
版权

参考博客 https://blog.csdn.net/J_com/article/details/129197536

通过下面链接可以获取到接口信息

http://ip:port/router/v2/api-docs
http://ip:port/v2/api-docs
http://ip:port/swagger-ui.html#/

处理办法,加上enable(false)或者将SwaggerConfig给注释掉,弊端就是你自己也访问不了接口文档

@Configuration
@EnableSwagger2
public class SwaggerConfig {
    
	@Bean
	public Docket createRestApi() {
		return new Docket(DocumentationType.SWAGGER_2)
			.apiInfo(apiInfo())
			.enable(false)   //加上这个
			.select()
			.apis(RequestHandlerSelectors.basePackage("com.lanren312.controller"))
			.paths(PathSelectors.any())
			.build();
	}
}

lanren312
关注
专栏目录
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
一文解决:Swagger API 授权访问漏洞问题
LiamHong_的博客
10-27 3万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,授权访问可能会导致安全漏洞。本文将介绍如何解决问题。
SwaggerAPI授权访问漏洞
最新发布
欢迎来到我的博客
09-05 550
SwaggerAPI授权访问漏洞
详细解决:Swagger API 授权访问漏洞问题
weixin_71807218的博客
03-16 9832
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
针对Swagger接口泄露授权的初探
2301_80115097的博客
08-15 2307
这篇文章呢主要是给师傅们分享下最近在学习的Swagger相关的漏洞,针对于Swagger接口授权访问已经常见的敏感信息文件泄露的漏洞来给大家分享下。其中在挖企业src的是时候,其实在利用灯塔ARL在对其域名或者站点扫描时候,Swagger接口泄露的漏洞也是蛮常见的。
最佳实践:解决 Swagger API 中的授权访问漏洞
2301_78234743的博客
10-27 702
投的前端开发,base杭州,10.27上午人工第一面,被疯狂抠细节拷打,答的不太好晚上看了一下状态,从AI面试变成了二轮面试进行中所以,这是人工第一面过了,还是。12人一组,一清一北?坏消息,是顺丰的低价,设计岗在深圳那么点钱估计活不下去,xdm我要接吗还是等其他的,本人广东人, 目前满帮三面、615hr面,其他大大小小银行和联通等还在流程中。市场上有很多大厂,虽然打着同一杆大旗,但里面的业务五花八门,人员的福利体系也千差万别,拿到同一个大厂的offer,签约公司却很可能不一样,比如,腾讯、华为、阿里。
swagger 授权访问漏洞修复,这可能是你看到的最好的解决方案!
热门推荐
记录点滴
09-26 3万+
大多数人都是直接禁用swagger,这样一来就给开发人员带来了负担,因为需要解决接口文档的问题,相信大家用惯了swagger文档,都不愿意自己再去手动写接口文档了。swagger授权访问主要的路径如下,根据版本不同或者自定义的路径,可能会有一定的差异,自定义路径的只需要把自己的路径添加进来即可。通过以上方式,即解决了swagger授权访问的问题,又解决了通过token授权访问的问题!怎样才能方便的修复授权访问漏洞,同时又能通过验证正常访问swagger文档呢?的方式对请求进行验证,
swaggerui授权访问漏洞笔记
enthan809882的博客
06-13 1万+
swaggerui授权访问漏洞笔记
寒假学习第二天----批量刷Swagger授权访问漏洞
m0_73581247的博客
01-11 1660
Swagger是一种用于设计、构建和文档化RESTful Web服务的开源框架。它提供了一种规范和工具集,可以帮助开发人员定义、构建、测试和文档化API。使用Swagger,开发人员可以使用简单易读的格式(比如YAML或JSON)编写API规范,描述API的路径、操作、参数、响应等信息。Swagger可以根据这些规范生成交互式API文档,使得其他开发人员可以轻松地了解和使用API。
spring boot授权访问Swagger漏洞处理
yudaxiaye的博客
06-20 1万+
无需修改源码,处理spring boot授权访问Swagger漏洞处理
Swagger API漏洞利用-JavaScript开发
05-26
尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易引入外网的SSRF漏洞 检测 API认证绕过漏洞 在...
网安漏洞知识系列:spring boot授权访问Swagger漏洞处理
weixin_54626591的博客
07-19 1045
spring boot授权访问Swagger漏洞处理
解决BladeX微服务Swagger资源授权访问漏洞
qq_38127559的博客
03-26 1784
客户线上环境,第三方进行安全检测时候,反馈来一个"Spring"接口授权访问漏洞
【解决问题】在SpringBoot中通过配置Swagger权限解决Swagger授权访问漏洞
招财猫_Martin 的专栏
10-08 5982
Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。若存在相关的配置缺陷,攻击者可以在授权的状态下,翻查Swagger接口文档,得到系统功能API接口的详细参数,再构造参数发包,通过回显获取系统大量的敏感信息。在一个项目的实施过程中,客户通过安全检测发现了系统中swagger进行授权导致调取到了项目上全部的api接口,并在接口中找到了默认的超级用户和密码,并通过修改超级用户密码成功登录到业务系统。以上2个方法选择其一,修改完成后,重启业务系统。
授权漏洞
Dasdwer的博客
03-24 7577
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
针对Swagger接口泄露授权访问的各种姿势
2401_83799022的博客
08-05 8105
然后先从Swagger漏洞的相关简介,再到相关使用的插件包括工具等的使用,然后再从实战中的案例进行解析和讲解。关键字,这个你可以点击下,这个标识就是表示这个泄露的 接口需要我们输入加密的信息,要是按照正常的直接访问这个泄露的api接口,然后看敏感信息就不可行了,下面我来带大家使用一个Swagger脚本工具来给师傅们演示下。上面给师傅们分享的都是这几天的收获,然后前面的简介包括对于Swagger接口泄露和授权也是解释方面也是蛮细的,也蛮适合新手宝宝看的文章,也是希望这篇文章对看的师傅们有些帮助哈!
API接口测试/Swgger-ui授权访问
qq_68163788的博客
07-03 2271
API(Application Programming Interface)是应用程序开发接口的缩写,意思是一些预设好的函数或方法,这些预设好的函数或方法允许第三方程序通过网络来调用数据或提供基于数据的服务。 Web API是网络应用程序接口。包含了广泛的功能,网络应用通过API接口,可以实现存储服务、消息服务、计算服务等能力,利用这些能力可以进行开发出强大功能的web应用。
swagger api 授权访问漏洞
05-10
Swagger是一个很流行的API文档工具,许多开发者利用Swagger来提供RESTful API文档。Swagger UI是Swagger的一个插件,能够让开发者更方便地浏览和测试API。但是,由于使用Swagger暴露出来的API文档具有公开性,一些黑客或者攻击者可以利用Swagger API授权访问漏洞进行攻击。 Swagger API授权访问漏洞是指没有正确配置Swagger UI的安全措施,导致它可以被公开访问。攻击者可以通过访问Swagger UI获取API的信息,包括API的URL、参数、数据格式等。同时,攻击者也可以使用Swagger UI的测试功能来向API发送请求,并获取API的响应。攻击者甚至可以通过Swagger UI的自动化测试功能来模拟大规模的恶意请求,从而对API进行拒绝服务攻击(DoS攻击)。 要避免Swagger API授权访问漏洞,我们需要采取一些安全措施。首先,禁止公开Swagger UI,不能让任何人都能够访问Swagger UI。其次,启用Swagger的安全认证措施,例如使用OAuth2授权协议,设置访问令牌等。此外,也可以对Swagger UI进行定制,例如限制测试哪些API、是否允许发送恶意请求等。 最后,我们必须意识到,安全是一个持续不断的过程,而不是一次性的工作。我们需要定期检查配置和安全策略,以确保系统的安全性。同时,还需要更新Swagger版本和库,及时修复漏洞和错误,从而保证API系统的稳定和安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值