检查出swagger漏洞,建议直接用@ConditionalOnExpression注解禁用swagger

最新推荐文章于 2024-05-18 14:25:02 发布
最新推荐文章于 2024-05-18 14:25:02 发布
阅读量1.5w 收藏 29
点赞数 8
分类专栏: java swagger漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012488804/article/details/107846243
版权

最开始在生产环境中是这样关闭swagger的

swagger主页不能访问了,接口也没暴露,但是漏洞报告还是来了

 

不知道这个有什么漏洞,所以干脆生成环境把整个swagger都禁用了,就不会有这些了

在swagger配置文件上加上

@ConditionalOnExpression("${swagger.onlion:true}")

然后在properties文件里面加上配置

 因为wagger配置文件里面配置的等于true才会启用这个配置,所以 swagger.onlion=false的时候

@Configuration
@EnableSwagger2 这2个注解就不会生效,就相当于没有swagger了,不管怎么检查swagger漏洞都没有了

 

七亿少女的梦
关注
  • 8
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
漏洞挖掘】——85、Swagger接口安全测试
Fly_鹏程万里
06-13 132
Swagger是一种用于描述、构建和使用RESTful API的开源框架,它提供了一套工具和规范,帮助开发者设计、文档化和测试API以及生成客户端代码和服务器存根,Swagger的核心组件是OpenAPI规范(以前称为Swagger规范),它是一个用于定义和描述API的规范,OpenAPI规范使用JSON或YAML格式,包括API的路径、参数、响应、错误处理等信息,它提供了一种标准的方式来描述API的结构和行为。
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
SpringBoot在生产快速禁用Swagger2的方法步骤
08-26
主要介绍了SpringBoot在生产快速禁用Swagger2的方法步骤,使用注解关闭Swagger2,避免接口重复暴露,非常具有实用价值,需要的朋友可以参考下
spring-boot 禁用swagger的方法
08-28
本篇文章主要介绍了spring-boot 禁用swagger的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Swagger接口未授权访问漏洞
lanren312的博客
06-16 6577
处理办法,加上enable(false)或者将SwaggerConfig给注释掉,弊端就是你自己也访问不了接口文档。通过下面链接可以获取到接口信息。
【问题篇】记录多种方式解决swagger2和swagger3的漏洞
最新发布
weixin_56995925的博客
05-18 1251
在工作中使用swagger时,一旦项目上线肯定是需要在生产环境关闭swagger的,本文针对swagger2和swagger3的各种情况进行记录。
一文解决:Swagger API 未授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 2万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决问题。
spring boot未授权访问及Swagger漏洞处理
yudaxiaye的博客
06-20 1万+
无需修改源码,处理spring boot未授权访问及Swagger漏洞处理
Swagger接口泄露漏洞风险
weixin_42581846的博客
12-19 3927
Swagger是一种用于描述API的工具,它可以使用OpenAPI规范来描述API的结构和功能。Swagger可以帮助开发人员更快地设计、测试和使用API,因此被广泛使用。 然而,如果没有适当的安全措施,Swagger可能会导致接口泄露漏洞。这意味着,攻击者可能会利用Swagger文档中提供的信息来攻击API或获取敏感信息。 为了避免这种风险,应该采取以下措施: 不要在Swagger文档中包含敏...
swagger-02-配置swagger
时光
08-12 812
swagger-02-配置swagger
怎样动态显示Swagger页面(例:开发环境显示,上线之后不显示)
weixin_46527470的博客
10-14 1349
//配置Swagger的Docket的bean实例 @Bean public Docket docket(Environment environment){ //设置要显示的Swagger环境 Profiles profiles = Profiles.of("dev"); //通过environment.acceptsProfiles()方法判断程序是否处在自己设定的环境当中 boolean flag = environm.
SpringMVC如何在生产环境禁用Swagger的方法
08-27
SpringMVC如何在生产环境禁用Swagger的方法 Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。文件的方法,...
Spring Boot引入swagger-ui 后swagger-ui.html无法访问404的问题
09-07
接下来,创建一个配置类`Swagger2Config`,使用`@EnableSwagger2`注解开启Swagger功能,并通过`@Bean`方法定义一个Docket实例,来指定需要扫描的API路径: ```java @Configuration @EnableSwagger2 @Profile(...
swagger2 整合springmvc
11-23
Swagger2 是一个流行的 API 文档化工具,它允许开发者通过注解轻松地为 Spring MVC 应用程序生成交互式文档。这个压缩包文件提供了一个整合 Swagger2 与 Spring MVC 的简单示例,使得用户能够快速了解如何在实际项目...
Swagger笔记
xiaotanke
01-17 872
Swagger笔记 1、Swagger简介 ​ Swagger 是一个规范且完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。Swagger 的目标是对 REST API 定义一个标准且和语言无关的接口,可以让人和计算机拥有无须访问源码、文档或网络流量监测就可以发现和理解服务的能力。当通过 Swagger 进行正确定义,用户可以理解远程服务并使用最少实现逻辑与远程服务进行交互。与为底层编程所实现的接口类似,Swagger 消除了调用服务时可能会有的猜测。 支持在线同步API文
Swagger API 信息泄露漏洞【原理扫描】 怎么修补漏洞
weixin_42596011的博客
02-09 3703
首先,你需要检查 Swagger API 中的所有信息泄露漏洞,然后按照安全性的要求进行修补和更新。其次,你应该检查 Swagger API 中的权限管理,并确保只有授权的用户才能访问 API 接口。最后,你应该定期扫描 Swagger API,以确保它们仍然处于安全状态。 ...
SpringBoot-Swagger集成
六道
05-14 139
初识Swagger 1. 环境搭建 创建SpringBoot-web项目 1. 导入依赖 <!-- https://mvnrepository.com/artifact/io.springfox/springfox-swagger2 --> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> &
配置Swagger注解的使用
世 间 尤 物,不 敢 妄 取
06-15 561
配置完成后,下面有注解的使用 添加依赖 <!-- https://mvnrepository.com/artifact/io.springfox/springfox-swagger2 --> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.9.2&lt
在SpringBoot中通过配置Swagger权限解决Swagger未授权访问漏洞
沉淀、分享、成长,让自己和他人都能有所收获!
02-26 7936
在本文中,我们详细讨论了在SpringBoot项目中解决Swagger权限漏洞的方法。通过配置和代码示例,我们可以有效地保护我们的系统免受潜在的安全威胁。希望这些技巧对你有所帮助!
如何禁用swagger ui
09-19
### 回答1: 要禁用 Swagger UI,可以在你的应用程序中删除与 Swagger 相关的依赖项。如果你正在使用 Spring Boot,可以在 pom.xml 文件中删除 swagger-ui 和 springfox-swagger2 的依赖项。然后,在应用程序的配置文件或类中,将以下配置属性设置为 false: ``` springfox.documentation.swagger-ui.enabled=false ``` 这将禁用 Swagger UI 在应用程序中的使用。 ### 回答2: 要禁用Swagger UI,可以按照以下步骤进行操作: 1. 打开项目的配置文件,通常是一个名为`application.properties`或`application.yml`的文件。 2. 在配置文件中寻找Swagger相关的配置项,通常是以`swagger`开头的配置项。 3. 将Swagger的`enabled`配置项设置为`false`,这将禁用Swagger UI的自动生成和展示功能。配置项可能为: - `swagger.enabled=false` - `swagger-ui.enabled=false` 4. 保存配置文件并重新启动项目。 5. 在项目重新启动后,访问Swagger UI的地址,应该会显示“404 Not Found”或类似的错误信息,表示Swagger UI已成功禁用。 需要注意的是,禁用Swagger UI仅仅是不再向客户端提供UI界面,但Swagger的功能仍然存在,并可通过其他方式(如API文档生成、调试工具)进行使用。禁用Swagger UI主要是为了增加安全性和减少对服务器资源的消耗。 ### 回答3: 要禁用Swagger UI,可以采取以下步骤: 1. 移除Swagger UI的相关依赖:在项目的依赖管理文件中,如Maven的pom.xml或者Gradle的build.gradle,找到Swagger UI的依赖项,并将其移除或注释掉。例如,针对Maven项目可以删除或注释掉类似以下的依赖项: ``` <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger-ui</artifactId> <version>...</version> </dependency> ``` 2. 禁用Swagger配置类:如果项目中有针对Swagger的自定义配置类,可以将其禁用或删除。例如,对于Spring Boot项目,可以在配置类上加上`@Profile("!swagger")`注解禁用该配置类。 3. 关闭Swagger的URL访问:在项目的配置文件(如application.properties或application.yml)中,添加以下配置内容来关闭Swagger的URL访问: ```properties springfox.documentation.swagger-ui.enabled=false ``` 或者 ```yaml springfox: documentation: swagger-ui: enabled: false ``` 4. 重新构建和部署项目:在上述步骤完成后,重新构建项目并重新部署到服务器上,确保Swagger UI已经被成功禁用。 通过以上步骤,您就可以成功禁用Swagger UI,防止项目中暴露API文档和接口调试功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值