swagger 避免被检查出来文档泄露漏洞

最新推荐文章于 2024-08-16 10:21:30 发布
最新推荐文章于 2024-08-16 10:21:30 发布
阅读量4k 收藏 3
点赞数
分类专栏: .nercore 随手笔记 文章标签: c# asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43965881/article/details/114839912
版权

配置好swagger以后在加一个中间件,避免被检查出来文档泄露漏洞

public class SwaggerBasicAuthMiddleware
    {

        private readonly RequestDelegate next;

        public SwaggerBasicAuthMiddleware(RequestDelegate next)
        {
            this.next = next;
        }

        public async Task InvokeAsync(HttpContext context)
        {
            //Make sure we are hitting the swagger path, and not doing it locally as it just gets annoying :-)
            if (context.Request.Path.StartsWithSegments("/swagger"))
            {
                string authHeader = context.Request.Headers["Authorization"];
                if (authHeader != null && authHeader.StartsWith("Basic "))
                {
                    // Get the encoded username and password
                    var encodedUsernamePassword = authHeader.Split(' ', 2, StringSplitOptions.RemoveEmptyEntries)[1]?.Trim();

                    // Decode from Base64 to string
                    var decodedUsernamePassword = Encoding.UTF8.GetString(Convert.FromBase64String(encodedUsernamePassword));

                    // Split username and password
                    var username = decodedUsernamePassword.Split(':', 2)[0];
                    var password = decodedUsernamePassword.Split(':', 2)[1];

                    // Check if login is correct
                    if (IsAuthorized(username, password))
                    {
                        await next.Invoke(context);
                        return;
                    }
                }

                // Return authentication type (causes browser to show login dialog)
                context.Response.Headers["WWW-Authenticate"] = "Basic";

                // Return unauthorized
                context.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
            }
            else
            {
                await next.Invoke(context);
            }
        }

        /// <summary>
        /// 设置密码
        /// </summary>
        /// <param name="username"></param>
        /// <param name="password"></param>
        /// <returns></returns>
        public bool IsAuthorized(string username, string password)
        {
            // Check that username and password are correct
            return username.Equals("Admin", StringComparison.InvariantCultureIgnoreCase)
                    && password.Equals("123456");
        }

        public bool IsLocalRequest(HttpContext context)
        {
            //Handle running using the Microsoft.AspNetCore.TestHost and the site being run entirely locally in memory without an actual TCP/IP connection
            if (context.Connection.RemoteIpAddress == null && context.Connection.LocalIpAddress == null)
            {
                return true;
            }
            if (context.Connection.RemoteIpAddress.Equals(context.Connection.LocalIpAddress))
            {
                return true;
            }
            if (IPAddress.IsLoopback(context.Connection.RemoteIpAddress))
            {
                return true;
            }
            return false;
        }
    }
    public static class SwaggerAuthorizeExtensions
    {
        public static IApplicationBuilder UseSwaggerAuthorized(this IApplicationBuilder builder)
        {
            return builder.UseMiddleware<SwaggerBasicAuthMiddleware>();
        }
    }

只需要再startup Configure方法里面加入一行代码即可

app.UseSwaggerAuthorized();
弱水三千 只取一瓢饮
关注
专栏目录
swagger修复建议(Swagger接口泄露漏洞修复)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
05-16 7982
目前遇到无法生成swagger的问题,总结了两种原因及解决方案,原因可能是接口缺少http属性和命名冲突。Swagger是一种用于描述API的开源框架,它使用OpenAPI规范来定义API的端点、请求、响应、模式等。Swagger接口泄露漏洞是指在使用Swagger描述API时,由于未正确配置访问控制或未实施安全措施,导致API接口被不授权的人员访问和利用,从而导致系统安全风险。
swagger暴露程序接口文档
weixin_30767921的博客
05-17 860
Swagger2是一个帮助用户、团队、企业快速、高效、准确地生产API服务的工具组件,同时还提供了部分测试功能,它的官方网站是https://swagger.io/。 1.引入Maven <dependency> <groupId>io.springfox</groupId> &l...
通过Swagger暴露接口文档
shenzhen_zsw的专栏
04-28 5855
通过Swagger暴露接口文档 什么是Swagger   Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。文件方法,参数和模型紧密集成到服务器端的代码,允许API来始终保持同步。 作用:   1.接口的文档在线自动生成。   2....
针对Swagger接口泄露未授权的初探
最新发布
2301_80127209的博客
08-16 1516
这篇文章呢主要是给师傅们分享下最近在学习的Swagger相关的漏洞,针对于Swagger接口未授权访问已经常见的敏感信息文件泄露漏洞来给大家分享下。其中在挖企业src的是时候,其实在利用灯塔ARL在对其域名或者站点扫描时候,Swagger接口泄露漏洞也是蛮常见的。
Swagger API 信息泄露漏洞【原理扫描】 怎么修补漏洞
weixin_42596011的博客
02-09 3861
首先,你需要检查 Swagger API 中的所有信息泄露漏洞,然后按照安全性的要求进行修补和更新。其次,你应该检查 Swagger API 中的权限管理,并确保只有授权的用户才能访问 API 接口。最后,你应该定期扫描 Swagger API,以确保它们仍然处于安全状态。 ...
API接口漏洞案例—接口文档泄露
2301_77360081的博客
11-02 1549
本案例是一次在某建材公司的项目实战测试中发现的一个swagger-ui接口文档泄露漏洞,该漏洞归属于API OWASP TOP 10漏洞类别中的资产管理不当,最后能够通过该接口文档实现漏洞利用的危害最大化,在这将其作为一个漏洞案例分享出来给大家。
实战纪实 | 某医院系统swagger接口未授权 + Springboot信息泄露
2301_80127209的博客
01-17 2380
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。通过指纹识别出该站是springboot开发,扫描目录查看是否存在泄露。很多接口,不可能一个一个手动测试吧,上工具:swagger-hack。工具扫描完会生成文档,查看文档,是否有返回敏感内容。开局还是先测一下登录框,弱密码走一波,无果。帮助你在面试中脱颖而出。
通过Swagger泄露的接口获取相应信息
码农研究僧的博客
07-25 1010
由于网站中Swagger接口存在泄露,有矛就有盾,先分析矛 (不对网站进行演示,通过个人项目进行复现)
Swagger API漏洞利用-JavaScript开发
05-26
Swagger API Exploit 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET /...当工具检测到HTTP认证绕过漏洞时,本地服务器拦截API文档,修改path,以便直接在Swagger
网安漏洞知识系列:spring boot未授权访问及Swagger漏洞处理
weixin_54626591的博客
07-19 984
spring boot未授权访问及Swagger漏洞处理
swagger api泄露漏洞
05-05
API泄露漏洞指的是攻击者可以通过Swagger文档界面获取到API的详细信息,包括API的URL、参数、返回值等。这些信息可以帮助攻击者更加容易地理解和利用API,甚至可以进行恶意攻击。 为了防止API泄露漏洞,我们可以...
swagger如何屏蔽某些接口,不对外公开--使用@ApiIgnore
weixin_33672400的博客
10-20 6553
2019独角兽企业重金招聘Python工程师标准>>> ...
Swagger2如何将不想显示的方法或者类隐藏?
DwZ735660836的博客
05-28 1223
只需要在方法上或者类上加注解: @ApiIgnore 即可解决
使用swagger时碰到的坑——次字母大写引起的注释部分丢失以及接口输出字段大小写不一致问题
极赫赫的博客
05-23 1384
本文主要是针对使用swagger时碰到的坑(次字母大写引起的注释部分丢失以及接口输出字段大小写不一致问题),进行分析与处理,需要的同学可以参考下。
Swagger API 信息泄露漏洞解决方案
热门推荐
J_com的博客
02-24 2万+
Swagger API 信息泄露漏洞解决方案
检查swagger漏洞,建议直接用@ConditionalOnExpression注解禁用swagger
七亿少女的梦
08-06 1万+
最开始在生产环境中是这样关闭swaggerswagger主页不能访问了,接口也没暴露,但是漏洞报告还是来了 不知道这个有什么漏洞,所以干脆生成环境把整个swagger都禁用了,就不会有这些了 在swagger配置文件上加上 @ConditionalOnExpression("${swagger.onlion:true}") 然后在properties文件面加上配置 因为wagger配置文件面配置的等于true才会启用这个配置,所以swagger.onlion=...
针对Swagger接口泄露未授权访问的各种姿势
2401_83799022的博客
08-05 6663
然后先从Swagger漏洞的相关简介,再到相关使用的插件包括工具等的使用,然后再从实战中的案例进行解析和讲解。关键字,这个你可以点击下,这个标识就是表示这个泄露的 接口需要我们输入加密的信息,要是按照正常的直接访问这个泄露的api接口,然后看敏感信息就不可行了,下面我来带大家使用一个Swagger脚本工具来给师傅们演示下。上面给师傅们分享的都是这几天的收获,然后前面的简介包括对于Swagger接口泄露和未授权也是解释方面也是蛮细的,也蛮适合新手宝宝看的文章,也是希望这篇文章对看的师傅们有些帮助哈!
【问题篇】记录多种方式解决swagger2和swagger3的漏洞
weixin_56995925的博客
05-18 2089
在工作中使用swagger时,一旦项目上线肯定是需要在生产环境关闭swagger的,本文针对swagger2和swagger3的各种情况进行记录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值