Swagger ui接口自动化批量漏洞测试

原创 已于 2023-02-20 09:02:01 修改 · 1w 阅读 · 45 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#postman #Swagger ui #Swagger ui漏洞测试

于 2022-11-16 09:35:33 首次发布
本文介绍了如何利用Swagger生成和测试RESTful接口,以及如何通过Postman进行批量自动化测试。首先,展示了如何导入Swagger API到Postman,并设置环境变量。接着,设置Postman代理以配合Burp Suite进行流量捕获。然后,通过Postman的测试和自动化功能,对所有API接口进行自动化测试。最后,结合Xray进行漏洞扫描,提高接口安全测试的效率。

目录

Swagger介绍

postman

导入Swagger Api

设置Environment

代理设置

批量自动化测试

结合xray

Swagger介绍

Swagger 是一个用于生成、描述和调用 RESTful 接口的 Web 服务。通俗的来讲,Swagger 就是将项目中所有(想要暴露的)接口展现在页面上,并且可以进行接口调用和测试的服务。

在平时渗透测试的的时候,经常会发现Swagger ui(swagger-ui是将api接口进行可视化展示的工具)接口泄露,如下,在这个页面中暴露了目标站点中所有的接口信息,所以可以对这个接口进行漏洞测试,看是否存在未授权访问、sql注入、文件上传等漏洞。由于接口太多,一个个接口测试的话太费时间,所以出了这篇自动化接口漏洞测试文章

利用思路:

  • 将Swagger ui中所有的接口导入到postman
  • postman设置代理,将流量转发给burpsuite,方便观察发包情况
  • 对导入的所有api自动运行测试,让postman自动对每个api进行请求
  • burpsuite挂上xray,进行漏洞检测

postman

postman是一个api接口自动化测试工具,下载:Download Postman | Get Started for Free

导入Swagger Api

  1. 访问Swagger ui,箭头中的就是api接口地址,将其复制

与域名拼接后访问一下,将整个地址复制“https://xx.com/cdy-api-mng/v2/api-docs”

  1. 打开postman

点击“import”,在Link下填上刚才复制的api地址,点击继续

然后点击import,进行导入

导入成功后,可在apis中查看刚才导入的整个Swagger api接口

设置Environment

Environment即环境变量,随便点击一个地址过去看一下,这里的baseurl是一个变量,postman对所有api的请求的格式都是“http://ip/详细地址”,http://ip为变量,需要设置值。把鼠标放在baseUrl处,会显示其值,将其地址记住

点击如下Add,添加“active Environment”

填写如下,设置变量名为test。其值设置为“https://xx.xx.com/cdy-api-mng/”

然后选择刚刚设置的环境"test"

此时再点击就能看到我们设置的环境

最后可以尝试进行发包测试了

代理设置

给postman设置一个代理,代理地址为burp的监听地址。这样burpsuite就能接收来自postman的数据包

接收到http数据,则说明代理成功

批量自动化测试

api接口地址众多,如果一个个接口点击进行测试,效率太过于低下。所以需要批量自动进行测试

定位到第一行,点击“Test and Automation”

点击“run”

继续点击

postman会自动对所有的api进行发包测试,此时在burpsuite中可以查看到具体的数据包

结合xray

为了最大程度实现自动化漏洞挖掘,我们可以同时把流量转发给xray进行漏洞探测。burp配置代理,将流量转发给xray

xray开启监听,接收来自burp的流量

开始自动化对所有api接口进行扫描

swagger-hack:自动化爬取并自动测试所有swagger-ui.html显示的接口
03-05
招摇 在测试中偶尔会碰到swagger附加的常见的对齐方式: 有的同轴接口特别多,每一个都手动去试根本试不过来随后用python写了个脚本自动爬取所有接口,配置好传参发包访问 原理是首先抓取获取到一些标准和对应的文档地址而后对每个标准下的接口文档进行解析,构造请求包,获取响应 尽量考虑到了所有可能的传参格式,实际测试只有少数几个会500或400响应需要手动修改一下,其余都是401或200 200就是未授权访问接口了,可以进一步做其他诸如sqli等测试运行时然后: 所有测试结果都存储在csv中: 欢迎大家关注稻草人安全团队,后续有更多技术文章,工具分享等
基于Swagger接口自动化测试!
测试界的彭于晏的博客
06-27 1275
本文是一篇讲述我司云原生微服务与服务接口(API)自动化测试实现的文章、前半部分主要简单介绍Swagger的基本使用方法,中后部分也就是本文的重点议题:Swagger如何与自动化测试之道结合应用,最后根据整体的实现情况,提出一些注意事项,也就算是欲加理想实现,自要约束规范
针对Swagger接口泄露未授权访问的各种姿势
最新发布
2402_84205067的博客
08-15 1170
Swagger接口泄露漏洞分析与利用 本文介绍了Swagger接口信息泄露漏洞的成因、常见路径及利用方法。Swagger作为API文档工具,若配置不当会导致未授权访问,泄露敏感API接口信息。文章列举了数十个常见的Swagger泄露路径,并推荐使用SpringBoot-Scan工具进行自动化扫描。针对加密的Swagger接口,可通过分析swagger.json文件获取API信息。作者还演示了如何利用浏览器插件和脚本工具进行漏洞验证,强调通过FOFA搜索"Whitelabel Error Page&
漏洞检测工具:Swagger UI敏感信息泄露
qq_65150735的博客
12-24 2731
漏洞检测工具:Swagger UI敏感信息泄露
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
基于Swagger接口自动化测试
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
11-15 3288
原始时代,可能在工程开发前夕,会去创建接口文档,或者去修改前辈的接口文档。日复一日的你,肯定会有遗漏,那就是忘记维护接口文档(PS:忘记写文档就扣工资?)近现代,你可以用Swagger自动帮你生成接口文档(是不是很神奇?)这就是技术的进步!但是!你必须要遵守他的规范(一提规范就头大)!Swagger 接口项目Swagger 接口管理Swagger 测试用例顾名思义,业务工程项目装着工程接口,在业务工程接口下,测试可以创建业务的接口测试用例(是不是很绕嘴?
全网最全的Postman接口自动化测试(史实级攻略)
m0_52789121的博客
05-15 283
背景 该篇文章针对已经掌握 Postman 基本用法的读者,即对接口相关概念有一定了解、已经会使用 Postman 进行模拟请求的操作。 当前环境: Window 7 - 64 Postman 版本(免费版):Chrome App v5.5.3 不同版本页面 UI 和部分功能位置会有点不同,不过影响不大。 我们先思考一下,如果需要达到自动化接口测试的效果,那么我们在基本的模拟请求上还需要做哪些呢? 以下我粗略概括为 3 个问题(欢迎更多补充与建议): 如何判断接口是否请求成功 如何进行接口批量、...
针对Swagger接口泄露未授权的初探
人若无名,便可专心练剑
10-20 1217
这篇文章呢主要是给师傅们分享下最近在学习的Swagger相关的漏洞,针对于Swagger接口未授权访问已经常见的敏感信息文件泄露的漏洞来给大家分享下。其中在挖企业src的是时候,其实在利用灯塔ARL在对其域名或者站点扫描时候,Swagger接口泄露的漏洞也是蛮常见的。Swagger是一个用于设计、构建、文档化和使用RESTful风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞
Swagger与API测试】:集成自动化测试到API文档中
Swagger作为一种API开发和测试工具,提供了从文档生成到界面定制的全面解决方案,有效简化了API的设计、开发和测试过程。本文首先介绍Swagger的基本使用方法,包括核心概念、界面操作与配置以及代码集成。随后,深入...
【第39课】安全开发-JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化
Lucker_YYY的博客
09-10 997
111功能:数据库操作,文件操作,序列化数据,身份验证,框架开发,第三方组件使用等.框架库:MyBatis,SpringMVC,SpringBoot,Shiro,Log4j,FastJson等技术:Servlet,Listen,Filter,Interceptor,JWT,AOP,反射机制待补充安全:SQL注入,RCE执行,反序列化,脆弱验证,未授权访问,待补充安全:原生开发安全,第三方框架安全,第三方组件安全等,架构分析,待补充。
SpringBoot集成SwaggerPostman,newman,jenkins自动化测试.
一个不太黑的测试人~
03-27 544
环境:Spring Boot,Swagger,gradle,Postman,newman,jenkins
swagger-qa:自动化测试swagger api
07-06
招摇-qa 自动化测试swagger api swagger api 自动化测试的特点。 应该能够使用任何 swagger api 运行。 如果 Web 服务可以是 rest、soap 或传统的键值对,也可以通过提供映射层来使用。 此映射层可用作服务器的恢复代理或用作 swagger-test 的适配器。 控制器(从 jmeter 中获取概念)它为测试提供了一些控制流。 有些可以提供:随机控制器:样本将被随机调用。 简单的控制器,自上而下执行。 while 控制器、切换控制器、if else 控制器。 示例请求,应在提供 Web 服务的 swagger 规范时自动生成。 请求配置:可以将csv、json、xml、ini作为每个请求的替代数据。 响应解析器:用户可以定义如何解析响应以进行断言,发送到下一个请求。 断言:简单断言真假,对象相等,正则表达式 结果:不同类型的累积结
jmeter接口自动化测试插件swagger转jmeter脚本.zip
07-16
jmeter接口自动化测试插件swagger转jmeter脚本.zip
swagger-tester:自动测试您的swagger API
05-27
摇摇晃晃的测试者 Swagger-Tester将自动测试您的swagger API。 无需运行API服务器即可直接支持使用connexion( )制作的Swagger API。 如果您使用连接,它将从您的swagger文件自动运行测试服务器。 要运行测试,swagger-tester将检测您的API的每条路径和操作。 并针对每个请求发送一个请求,并检查响应是否符合swagger文件规范。 相关图书馆 您可能会找到与此库相关的库: :您可以在客户的单元测试中使用的存根。 默认情况下,对swagger API的所有HTTP调用都是模拟的。 您还可以在测试函数中添加自己的mocked_calls。 :将几个swagger规格汇总为一个。 对您的API网关很有用! :解析摇摇欲坠的规范的助手。 您可以访问HTTP操作/路径和一些示例数据 用法示例 from swagger_tes
Swagger API漏洞利用-JavaScript开发
05-26
Swagger API Exploit 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接 Swagger API Exploit 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易引入外网的SSRF漏洞 检测 API认证绕过漏洞 在本地监听一个Web Server,打开Swagger UI界面,供分析接口使用 使用Chrome打开本地Web服务器,并禁用CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过漏洞时,本地服务器拦截API文档,修改path,以便直接在Swagger
swaggerui未授权访问漏洞笔记
热门推荐
enthan809882的博客
06-13 1万+
swaggerui未授权访问漏洞笔记
Swagger接口安全测试
Fly_鹏程万里
02-22 1685
Swagger是一种用于描述、构建和使用RESTful API的开源框架,它提供了一套工具和规范,帮助开发者设计、文档化和测试API以及生成客户端代码和服务器存根,Swagger的核心组件是OpenAPI规范(以前称为Swagger规范),它是一个用于定义和描述API的规范,OpenAPI规范使用JSON或YAML格式,包括API的路径、参数、响应、错误处理等信息,它提供了一种标准的方式来描述API的结构和行为Swagger是一个持续发展的项目,经历了以下几个主要版本的演变:Swagger 1.0:Swag
【问题篇】记录多种方式解决swagger2和swagger3的漏洞
weixin_56995925的博客
05-18 2688
在工作中使用swagger时,一旦项目上线肯定是需要在生产环境关闭swagger的,本文针对swagger2和swagger3的各种情况进行记录。
[快速入门]Spring Boot+springfox-swagger2 之RESTful API自动生成和测试
oscar999的专栏
10-22 607
[快速入门]Spring Boot+springfox-swagger2 之RESTful API自动生成和测试 Swagger是自动生成 REST APIs文档的工具之一。Swagger?支持jax-rs, restlet, jersey。springfox-swagger是Spring生态的Swagger解决方案。 整合步骤: 创建Spring Boot项目(略) 导入springfo...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ly4j

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值