SwaggerAPI未授权访问漏洞

最新推荐文章于 2024-09-10 10:21:38 发布
最新推荐文章于 2024-09-10 10:21:38 发布
阅读量250 收藏 4
点赞数 4
分类专栏: web开发 漏洞扫描 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaomzhng/article/details/141916865
版权

修复方案

如果有 swagger-bootstrap-ui 依赖,将此依赖注释

<dependency>  
    <groupId>com.github.xiaoymin</groupId>  
    <artifactId>swagger-bootstrap-ui</artifactId>  
</dependency>

配置类

@Configuration  
@EnableSwagger2  
// 使用配置,不生成配置类,使得Swagger UI 不可访问
@ConditionalOnProperty(name = "swagger.enable", havingValue = "true")  
public class Swagger2Config implements WebMvcConfigurer {  
  
  
  
  
    /**  
     * swagger2的配置文件,这里可以配置swagger2的一些基本的内容,比如扫描的包等等  
     *  
     * @return Docket     */    @Bean  
    public Docket createRestApi() {  
       return new Docket(DocumentationType.SWAGGER_2)  
             .apiInfo(apiInfo())  
             .select()  
             //此包路径下的类,才生成接口文档  
             .apis(RequestHandlerSelectors.basePackage("com.xxx"))  
             .paths(PathSelectors.any())  
             .build()  
        // 需要携带请求头才能进行访问
        .securitySchemes(Collections.singletonList(securityScheme()));  
    }  
  
    @Bean  
    SecurityScheme securityScheme() {  
       return new ApiKey(DefContants.X_ACCESS_TOKEN, DefContants.X_ACCESS_TOKEN, "header");  
    }

配置文件

#是否开启 swagger  
swagger:  
  enable: false
通域
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文解决:Swagger API 授权访问漏洞问题
LiamHong_的博客
10-27 2万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,授权访问可能会导致安全漏洞。本文将介绍如何解决问题。
详细解决:Swagger API 授权访问漏洞问题
weixin_71807218的博客
03-16 8435
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
swaggerui授权访问漏洞笔记
enthan809882的博客
06-13 1万+
swaggerui授权访问漏洞笔记
Swagger接口授权访问漏洞
lanren312的博客
06-16 6912
处理办法,加上enable(false)或者将SwaggerConfig给注释掉,弊端就是你自己也访问不了接口文档。通过下面链接可以获取到接口信息。
swagger 授权访问漏洞修复,这可能是你看到的最好的解决方案!
热门推荐
记录点滴
09-26 3万+
大多数人都是直接禁用swagger,这样一来就给开发人员带来了负担,因为需要解决接口文档的问题,相信大家用惯了swagger文档,都不愿意自己再去手动写接口文档了。swagger授权访问主要的路径如下,根据版本不同或者自定义的路径,可能会有一定的差异,自定义路径的只需要把自己的路径添加进来即可。通过以上方式,即解决了swagger授权访问的问题,又解决了通过token授权访问的问题!怎样才能方便的修复授权访问漏洞,同时又能通过验证正常访问swagger文档呢?的方式对请求进行验证,
常见授权访问漏洞
weixin_60838266的博客
07-17 1681
由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可以执行任意方法,从而导致远程命令执行漏洞。受影响的版本包括 5.0 和 5.1 版本(即默认情况下)。
最佳实践:解决 Swagger API 中的授权访问漏洞
han_xue_feng的博客
10-27 807
投的前端开发,base杭州,10.27上午人工第一面,被疯狂抠细节拷打,答的不太好晚上看了一下状态,从AI面试变成了二轮面试进行中所以,这是人工第一面过了,还是。12人一组,一清一北?坏消息,是顺丰的低价,设计岗在深圳那么点钱估计活不下去,xdm我要接吗还是等其他的,本人广东人, 目前满帮三面、615hr面,其他大大小小银行和联通等还在流程中。市场上有很多大厂,虽然打着同一杆大旗,但里面的业务五花八门,人员的福利体系也千差万别,拿到同一个大厂的offer,签约公司却很可能不一样,比如,腾讯、华为、阿里。
网站存在授权访问漏洞--Swagger
Gemini1995的博客
07-12 964
swagger 相关禁用
寒假学习第二天----批量刷Swagger授权访问漏洞_swagger1
2401_84239625的博客
04-11 818
actuator/heapdump actuator/healthcheck actuator/heapdump actuator/httptrace actuator/hystrix.stream actuator/info actuator/integrationgraph actuator/jolokia actuator/logfile actuator/loggers actuator/loggingConfig actuator/liquibase actuator/metrics actuat
Swagger API漏洞利用-JavaScript开发
05-26
尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易引入外网的SSRF漏洞 检测 API认证绕过漏洞 在...
swagger api 授权访问漏洞
05-10
但是,由于使用Swagger暴露出来的API文档具有公开性,一些黑客或者攻击者可以利用Swagger API授权访问漏洞进行攻击。 Swagger API授权访问漏洞是指没有正确配置Swagger UI的安全措施,导致它可以被公开访问。...
spring事务详细讲解-深入浅出
小电玩
09-08 436
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
Java多线程:深入探索与详细解析
m0_63550220的博客
09-08 1434
作为Java中的基本执行单元,线程是轻量级的进程,由线程ID、程序计数器、Java虚拟机栈、本地方法栈、和线程私有内存等部分组成。每个线程都有独立的执行路径,但共享进程的资源(如内存)。:进程是系统资源分配的基本单位,它包含了一个或多个线程以及这些线程运行所需的资源。在Java中,JVM(Java虚拟机)就是一个进程,而运行在JVM上的多个线程则共享JVM的内存空间。:并发指的是多个任务在同一时间段内交替执行,而并行则指的是多个任务在同一时刻真正同时执行。
Java集合:Stack详解
最新发布
yang_brother的博客
09-10 462
Java 中的Stack类是一个后进先出(LIFO, Last In First Out)的数据结构,它继承自Vector类。尽管Stack是一个可用的类,但它被认为是遗留的,并且在新代码中不推荐使用。通常建议使用Deque或ArrayDeque作为替代。
自定义Stater
m0_63624484的博客
09-07 699
我们平时在导入依赖的时候,大部分导入的都是xxx-spring-boot-stater。那是因为它们都基于spring的规则将写好的框架定义成一个stater,这样方便springboot引用它们写好的功能。那我们为什么也要自定义stater呢?
币安/OK现货合约量化系统APP开发
I592O929783的博客
09-08 510
后端:考虑系统需要处理大量实时数据和高频交易的特点,选择高性能的编程语言和技术框架,如Python的Django或Flask框架,Java的Spring Boot等。用户交互界面:设计直观易用的用户交互界面,包括交易界面、策略配置界面、风险管理界面等,方便用户进行交易操作、策略配置和风险管理。市场数据接入:开发市场数据接入模块,从币安等交易所或数据服务商获取实时的市场数据,包括行情数据、订单簿数据、成交数据等。前端:选择适合开发复杂界面的前端框架,如React、Vue.js等,以提供用户友好的交互界面。
MyBatis面试
Tony_yitao的博客
09-09 574
MyBatis面试
Linux服务器Java启动脚本
Jack魏
09-08 540
本文章介绍了如何在Linux服务器上执行Java并启动jar包,通常我们会使用nohup直接启动,但是还是需要手动停止然后再次启动,那如何更优雅的在服务器上启动jar包呢,让我们一起探讨一下吧。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值