spring boot未授权访问及Swagger漏洞处理

最新推荐文章于 2024-05-18 14:25:02 发布
最新推荐文章于 2024-05-18 14:25:02 发布
阅读量1.7w 收藏 30
点赞数 3
分类专栏: 安全及漏洞处理 文章标签: spring boot 后端 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yudaxiaye/article/details/131302832
版权

无需修改源码,处理spring boot未授权访问及Swagger漏洞处理

漏洞说明

spring boot未授权访问

风险程度:【高危】
漏洞概述
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。登陆验证一般的方式都是将用户在登录口输入的账号密码拿去与数据库中的记录做验证,并且要求输入的账号密码要等于数据库中某条记录的账号密码,验证通过则程序就会给用户一个session,然后进入后台,否则就返回到登陆口。然而攻击者可以找到一些缺乏权限验证的URL,直接绕过登录执行数据库查询,构成未授权访问。
漏洞危害
攻击者可绕过登录验证非法访问资源,如后台功能、敏感文件等。
整改建议
建议增加漏洞页面(接口)的访问认证,防止未授权访问直接浏览访问或调用。
涉及的请求地址包括但不限于:

  1. [http://ip:port/env/]
  2. http://ip:port/mappings
  3. http://ip:port/dump/

Swagger接口文档泄露

风险程度:【高危】
漏洞概述
Swagger生成的[API文档],是直接暴露在相关web路径下的。所有人均可以访问查看。通过这一点即可获取项目上所有的接口信息。那么结合实际业务,例如如果有文件读取相关的接口,可能存在任意文件下载,相关的业务访问可能存在未授权访问等。
漏洞危害
业务敏感信息泄露后可能会对用户带来危害,系统敏感信息泄露可能会协助攻击者提供更多的攻击途径和方法。
整改建议
结合SpringSecurity/shiro进行认证授权,将Swagger-UI的URL加入到各自的认证和授权过滤链中,当用户访问Swagger对应的资源时,只有通过认证授权的用户才能进行访问。
涉及的请求地址包括但不限于:

  1. [http://ip:port/swagger-ui.html#/cag45controller]
  2. http://ip:port/v2/api-docs

漏洞处理

spring boot未授权访问

官方给的整改建议,涉及修改代码,不方便实施。若涉及到的请求地址非必须,则可以通过修改配置文件进行处理:

# 若原来的配置如下,则表明访问时不需要认证,可直接访问,此时删除此配置即可。
management.security.enabled=false

上述方案亲测有效。

从网上查找,有如下方案(此方案未亲测),增加配置:

management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings

或者是(未亲测),增加配置:

# 完全禁用actuator
management.server.port=-1

Swagger接口文档泄露

官方给的建议或网上其他帖子给的方案,都涉及修改代码,在生产环境下,一旦涉及代码修改,动作过大,又要重新测试、发布,太麻烦。
我采用的方案是通过nginx配置,过滤掉漏洞涉及的url,禁止方案,nginx中增加如下配置,亲测有效:

server { 
    listen       8081; 
    server_name  127.0.0.1; 
		if ($request_uri ~* "/swagger-ui") {
			return 403;
		}
		if ($request_uri ~* "/api-docs") {
			return 403;
		}
    location / {
        proxy_pass  http://127.0.0.1:8080;
    }
}

注意,上述server_name,要换成自己系统的域名或服务器ip地址;listen和location重定向的ip、端口信息,要结合自己的实际情况修改。

雨打夏夜
关注
  • 3
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
swagger 授权访问漏洞修复,这可能是你看到的最好的解决方案!
记录点滴
09-26 1万+
大多数人都是直接禁用swagger,这样一来就给开发人员带来了负担,因为需要解决接口文档的问题,相信大家用惯了swagger文档,都不愿意自己再去手动写接口文档了。swagger授权访问主要的路径如下,根据版本不同或者自定义的路径,可能会有一定的差异,自定义路径的只需要把自己的路径添加进来即可。通过以上方式,即解决了swagger授权访问的问题,又解决了通过token授权访问的问题!怎样才能方便的修复授权访问漏洞,同时又能通过验证正常访问swagger文档呢?的方式对请求进行验证,
【问题篇】记录多种方式解决swagger2和swagger3的漏洞
最新发布
weixin_56995925的博客
05-18 1273
在工作中使用swagger时,一旦项目上线肯定是需要在生产环境关闭swagger的,本文针对swagger2和swagger3的各种情况进行记录。
SpringBoot中通过配置Swagger权限解决Swagger授权访问漏洞
沉淀、分享、成长,让自己和他人都能有所收获!
02-26 7969
在本文中,我们详细讨论了在SpringBoot项目中解决Swagger权限漏洞的方法。通过配置和代码示例,我们可以有效地保护我们的系统免受潜在的安全威胁。希望这些技巧对你有所帮助!
详细解决:Swagger API 授权访问漏洞问题
weixin_71807218的博客
03-16 6374
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
授权漏洞
Dasdwer的博客
03-24 6631
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
一文解决:Swagger API 授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 2万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,授权访问可能会导致安全漏洞。本文将介绍如何解决问题。
swaggerui授权访问漏洞笔记
enthan809882的博客
06-13 1万+
swaggerui授权访问漏洞笔记
漏洞复现 - - - Springboot授权访问
weixin_67503304的博客
09-05 2万+
讲解了 Springboot授权访问漏洞的原理,并且利用反弹shell的方式进行了漏洞复现,包括使用了powershell脚本文件
Swagger接口授权访问漏洞
lanren312的博客
06-16 6592
处理办法,加上enable(false)或者将SwaggerConfig给注释掉,弊端就是你自己也访问不了接口文档。通过下面链接可以获取到接口信息。
浅析SpringBoot框架常见授权访问漏洞
道阻且长,行则将至。
02-23 7126
本文总结学习了 Swagger-UI、SpringBoot Actuator、Druid、Webpack 组件的授权访问漏洞基本原理与漏洞探测方法,在介绍了几款自动化扫描工具的同时,也简要分析了 CVE-2022-22947 Spring Cloud Gateway RCE 漏洞
Spring Boot 快速搭建微服务框架详细教程
08-29
- 添加必要的依赖,如spring-boot-starter-web用于Web开发,spring-boot-starter-data-jpa或mybatis-spring-boot-starter用于数据访问。 - 下载生成的项目压缩包,然后使用IDE(如IntelliJ IDEA)导入。 2. 引入...
SpringBoot在生产快速禁用Swagger2的方法步骤
08-26
在生产环境中,因为我们禁用了Swagger2,因此无法访问Swagger2的API文档。 禁用Swagger2可以避免接口重复暴露,提高生产环境中的安全性。同时,我们也可以根据不同的环境和配置来启用或禁用Swagger2,以满足不同的...
SpringBoot 项目中引入Swagger2案例.docx
12-09
Spring Boot 项目中,Swagger2 是一个强大的工具,它允许开发者轻松地为 RESTful API 创建交互式的文档。Swagger2 提供了一种标准化的方式来描述 API,使得开发者、测试人员和客户端能够更好地理解和使用服务。本...
研究:全栈工程师学习笔记; Spring登录,shiro登录,CAS单点登录和Spring boot oauth2单点登录; Spring数据缓存,支持Redis和EHcahce; web安全,常见的网络安全漏洞以及解决思路;常规组件,尺寸redis,mq等; quartz定时任务,支持持久化数据库,动态维护启动暂停关闭; docker基本用法,常用的镜像使用,Docker-MySQL,docker- Postgres,Docker-nginx,Docker-nexus,Docker-Redis,Dock
02-05
Spring Boot项目实践 Java体系知识点汇总: : 网站资源链接 S3基本使用事件 数据库隔离等级验证 常用JVM命令验证 AOP实用技巧;某些打日志等 m3u解析器 知识汇总:::: 其他 GIT地址 UI资源 , 限流算法...
poc-swagger:[POC]昂首阔步
05-09
标题中的“poc-swagger:[POC]昂首阔步”可能是指一个Proof of Concept(PoC)项目,专门针对Swagger进行的安全测试或漏洞利用。Swagger是一个流行的API开发和文档工具,它允许开发者通过OpenAPI Specification(OAS...
最佳实践:解决 Swagger API 中的授权访问漏洞
2301_79125642的博客
10-27 1026
投的前端开发,base杭州,10.27上午人工第一面,被疯狂抠细节拷打,答的不太好晚上看了一下状态,从AI面试变成了二轮面试进行中所以,这是人工第一面过了,还是。12人一组,一清一北?坏消息,是顺丰的低价,设计岗在深圳那么点钱估计活不下去,xdm我要接吗还是等其他的,本人广东人, 目前满帮三面、615hr面,其他大大小小银行和联通等还在流程中。市场上有很多大厂,虽然打着同一杆大旗,但里面的业务五花八门,人员的福利体系也千差万别,拿到同一个大厂的offer,签约公司却很可能不一样,比如,腾讯、华为、阿里。
Spring Boot Actuator授权访问漏洞
qq_35456400的博客
08-10 1万+
Spring Boot Actuator 端点的授权访问漏洞是一个安全性问题,可能会导致授权的用户访问敏感的应用程序信息。可是并不用太过担心,Spring Boot Actuator 默认暴漏的信息有限,一般情况下并不会暴露敏感数据。注册中心有些功能集成了actuator,如果同时使用eureka和actuator,可以在eureka中点击注册链接查看健康状态信息(/actuator/info)。
授权访问漏洞总结
LuckySec
03-24 4795
前言:这篇文章主要收集一些常见的授权访问漏洞授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 0x01 授权漏洞预览 Active MQ 授权访问 Atlassian Crowd 授权访问 CouchDB 授权访问 Docker 授权访问 Dubbo 授权访问 Druid 授权访问 Elasticsearch 授权访问 FTP 授权访问 Hadoop 授权访问 JBoss 授权访
swagger 授权访问漏洞修复
12-21
Swagger授权访问漏洞可以通过以下方法修复,并确保正常访问Swagger文档: 1. 禁用Swagger UI的默认URL路径:可以通过更改Swagger UI的URL路径来防止授权访问。可以将Swagger UI的URL路径更改为一个不容易被猜测到的路径,例如将默认路径`/swagger-ui.html`更改为`/random-path/swagger-ui.html`。 2. 添加访问控制:可以通过在应用程序中添加访问控制来修复授权访问漏洞。可以使用身份验证和授权机制来限制对Swagger UI的访问。例如,可以要求用户进行身份验证并授予访问Swagger UI的权限。 3. 使用安全代理或反向代理:可以使用安全代理或反向代理来保护Swagger UI免受授权访问安全代理可以拦截对Swagger UI的请求,并根据特定的访问规则进行验证和授权。 4. 配置Swagger文档的访问权限:可以通过配置Swagger文档的访问权限来修复授权访问漏洞。可以将Swagger文档的访问权限设置为仅限于授权用户或特定IP地址。 5. 更新Swagger版本:如果发现Swagger存在已知的安全漏洞,可以尝试升级到最新版本的Swagger框架,以修复这些漏洞。 请注意,以上方法仅提供了一些常见的修复授权访问漏洞的方法,具体的修复方法可能因项目的具体情况而有所不同。在实施任何修复方法之前,请确保对项目的影响进行充分评估,并遵循最佳实践和安全建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值