swagger关闭/v2/api-docs仍然可以访问漏洞

已于 2023-03-08 09:29:23 修改
阅读量1.1w 收藏 19
点赞数 3
分类专栏: 后端 文章标签: java 开发语言
于 2023-03-07 16:35:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy_crazy_code/article/details/129360823
版权

今天接到安全团队的说swagger有未授权访问漏洞,即使在swagger关闭的情况下http://127.0.0.1:8086/agcloud/v2/api-docs?group=%E7%94%A8%E6%88%B7%E5%85%B3%E8%81%94%E4%BF%A1%E6%81%AF%E6%A8%A1%E5%9D%97仍然还能访问。

看了下原来是有写一个拦截器

        registry.addInterceptor(loginInterceptor).addPathPatterns("/v2/api-docs");
        registry.addInterceptor(loginInterceptor).addPathPatterns("/swagger-ui.html");

断点之后发现是有生效的,/swagger-ui.html不能再访问,但是/v2/api-docs路径还是可以访问,确定拦截器有生效,不是拦截器的问题。

查看基于springMVC请求入口找到DispatcherServlet类,找到doDispatch方法

protected void doDispatch(HttpServletRequest request, HttpServletResponse response) throws Exception {
    ......
    try {
        // HandlerMapping根据请求路径选择对应的handler(controller下的某个方法)来处理当前请求
        // 补充下HandlerMapping:
        // 1. 根据当前请求的找到对应的 Handler,
        // 2. 将 Handler(执行程序)与一堆 HandlerInterceptor(拦截器)封装到 HandlerExecutionChain 对象中
        // 3. DispatcherServlet会从容器中取出所有HandlerMapping实例并遍历,让HandlerMapping实例根据自己实现类的方式去尝试查找Handler
        mappedHandler = getHandler(processedRequest);
        ......
        // 根据handler来找到支持它的HandlerAdapter,通过HandlerAdapter执行这个最后的代码处理逻辑得到具体的返回结果
        HandlerAdapter ha = getHandlerAdapter(mappedHandler.getHandler());
        ......
        // 拦截器preHandle处理,按顺序执行
        if (!mappedHandler.applyPreHandle(processedRequest, response)) {
            return;
        }
        // handlerAdapter实际的执行逻辑
        mv = ha.handle(processedRequest, response, mappedHandler.getHandler());
        ......
        // 拦截器postHandle处理
        mappedHandler.applyPostHandle(processedRequest, response, mv);
    } catch (Throwable err) {
            ......
    } finally {
            ......
    }
}

在doDispatch方法中,拦截器的preHandle执行逻辑在mappedHandler.applyPreHandle中,接下来我看下这个方法:

	boolean applyPreHandle(HttpServletRequest request, HttpServletResponse response) throws Exception {
         // 遍历handler绑定的所有interceptors,按顺序执行preHanlde方法
		for (int i = 0; i < this.interceptorList.size(); i++) {
			HandlerInterceptor interceptor = this.interceptorList.get(i);
            // 如果preHandle返回false,则触发afterCompletion方法的执行
			if (!interceptor.preHandle(request, response, this.handler)) {
				triggerAfterCompletion(request, response, null);
				return false;
			}
			this.interceptorIndex = i;
		}
		return true;
	}

debug跟踪到这个方法,发现applyPreHandle方法中this.interceptorList的长度为0,即处理该请求的handler没有绑定任何interceptor。这个时候很容易想到问题可能出现在handlerMapping上,因为handlerMapping负责将handler与一堆 handlerInterceptor(拦截器)封装到 HandlerExecutionChain 对象中

doDispatch中的getHandler方法断点

解决方案:

package com.augurit.swj.config.filter;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.core.MethodParameter;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import org.springframework.http.server.ServerHttpRequest;
import org.springframework.http.server.ServerHttpResponse;
import org.springframework.web.bind.annotation.RestControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice;

import java.util.Arrays;
import java.util.List;

/**
 * @ClassName: SwaggerAdvice
 * @Author: zy
 * @Date: 2023/03/06 10:54
 * @Description:
 * 自定的HanderMapping初始化未绑定拦截器,导致拦截器失效
 * 通过ResponseBodyAdvice配合@ControllerAdvice注解,在请求响应体返回之前,校验请求URL
 *
 */
@RestControllerAdvice
public class SwaggerAdvice implements ResponseBodyAdvice {

    @Value("${agcloud.framework.swagger.enable}")
    private boolean swaggerEnable;

    private static final List<String> EXCLUDE_URL = Arrays.asList("/v2/api-docs");

    @Override
    public Object beforeBodyWrite(Object o, MethodParameter methodParameter, MediaType mediaType, Class aClass, ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse) {
        String url = serverHttpRequest.getURI().getHost() + serverHttpRequest.getURI().getPath();
        //增加判断,只有配置文件打开了swagger才能访问
        if(swaggerEnable == true){
            return o;
        }
        if (EXCLUDE_URL.stream().anyMatch(item -> url.contains(item))) {
            serverHttpResponse.setStatusCode(HttpStatus.FORBIDDEN);
            return "没有权限";
        }
        return o;
    }

    @Override
    public boolean supports(MethodParameter methodParameter, Class aClass) {
        return true;
    }
}

参考:记一次自定义拦截器失效的问题排查 - 简书

 

zy_crazy_code
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
swagger-api-docs:swagger-api-docs
05-04
api-doc-swagger 昂扬的API文档 与HTTP服务器一起运行 $ brew安装节点 安装http服务器 $ npm安装http-server -g 运行应用程序 $ http-服务器。 快速运行 $ npm我 $节点server.js 与DOCKER图像一起运行 $ docker build -f Dockerfile -t docker-image-name。 $ docker运行它-d -p主机端口:DOCKER端口docker-image-name 例子 $ docker build -f Dockerfile -t api-doc。 $ docker run -p 8080:8080 api-doc $ docker ps -a $ docker stop容器ID 列出所有图像 $泊坞窗图片 列出所有过程 $ docker ps -a 删除所有的容器 $泊坞
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API
在生产环境关闭swagger
凌晨港口
05-10 5666
在服务中引入了swagger文档,但在生产环境需要屏蔽;否定请求可以看到所有api
【nginx】采坑合集
lorogy的博客
04-30 1759
nginx配置
详细解决:Swagger API 未授权访问漏洞问题
weixin_71807218的博客
03-16 2504
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
springfox接口文档如何关闭
TingSty小z的博客
02-20 4374
接口文档区分生产环境和开发环境,如何通过开关控制
API文档管理-swagger2
宁灬夏的专栏
04-09 408
使用流程如下: 1)引入相应的maven包: <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <versi...
一文解决:Swagger API 未授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 1万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决问题。
springcloud:gateway聚合swagger 下篇(十二)
55555的博客
04-22 4787
0. 引言 1.
swagger 未授权访问漏洞修复,这可能是你看到的最好的解决方案!
记录点滴
09-26 1万+
大多数人都是直接禁用swagger,这样一来就给开发人员带来了负担,因为需要解决接口文档的问题,相信大家用惯了swagger文档,都不愿意自己再去手动写接口文档了。swagger未授权访问主要的路径如下,根据版本不同或者自定义的路径,可能会有一定的差异,自定义路径的只需要把自己的路径添加进来即可。通过以上方式,即解决了swagger未授权访问的问题,又解决了通过token授权访问的问题!怎样才能方便的修复未授权访问漏洞,同时又能通过验证正常访问swagger文档呢?的方式对请求进行验证,
接口apiSwagger 一次实战探索
小杨互联网
11-16 6105
就是把相关的信息存储在它定义的描述文件里面(yml或json格式),再通过维护这个描述文件可以去更新接口文档,以及生成各端代码。而Springfox-swagger,则可以通过扫描代码去生成这个描述文件。1、是一款让你更好的书写API文档的规范且完整框架。2、提供描述、生产、消费和可视化RESTful Web Service。3、是由庞大工具集合支撑的形式化规范。这个集合涵盖了从终端用户接口、底层代码库到商业API管理的方方面面。
api-docs:开放API格式的Bokun API文档(以前是大张旗鼓)
05-06
api-docs Bokun API的文档,采用Open API格式(以前是大张旗鼓)。安装swagger命令行界面swagger-cli可以验证yaml文件swagger validate [file] 。 并将它们捆绑为自包含的json文件,以与Swagger代码生成器结合使用,...
Swagger API漏洞利用-JavaScript开发
05-26
Swagger API Exploit 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接 ...
swagger-bootstrap-ui-1.9.6-API文档-中文版.zip
07-13
包含翻译后的API文档:swagger-bootstrap-ui-1.9.6-javadoc-API文档-中文(简体)版.zip; Maven坐标:com.github.xiaoymin:swagger-bootstrap-ui:1.9.6; 标签:github、xiaoymin、swagger、bootstrap、ui、中文文档...
string模拟实现
m0_73969414的博客
04-23 1438
c++中string的模拟实现,面试必会知识点
【1524】java投票管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目
qq_251836457的博客
04-18 1000
2、开发环境为TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql5.0,使用java语言开发。(5)投票选项管理:对投票选项信息进行添加、删除、修改和查看。(6)投票记录管理:对投票记录信息进行添加、删除、修改和查看。(1)管理员管理:对管理员信息进行添加、删除、修改和查看。(2)用户管理:对用户信息进行添加、删除、修改和查看。(3)公告管理:对公告信息进行添加、删除、修改和查看。(4)投票管理:对投票信息进行添加、删除、修改和查看。4)投票浏览查看、查看投票、投票记录。
PageHelper实现分页查询
m0_63849044的博客
04-24 952
这行代码是在使用 MyBatis Generator (MBG) 或类似的 MyBatis 工具生成的代码来构建查询条件。(可能是MyBatis的Mapper接口)来执行基于前面定义的查询条件的查询,并获取结果列表。实例之后会被用来设置各种查询条件,如字段的等于、不等于、大于、小于、模糊查询等。实体类生成的辅助类,它通常包含了一些静态内部类和方法,用于构建查询条件。在MyBatis中,这样的对象通常用于构建查询条件。对象,可能用于作为查询条件)。的一个内部类,用于定义查询的具体条件。
Lambda表达式特点
最新发布
weixin_57763462的博客
04-24 607
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
javaweb-SpringBoot基础
kussm_的博客
04-20 1337
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
swagger关闭/v2/api-docs仍然可以访问漏洞 如何解决
05-27
要解决Swagger关闭/v2/api-docs仍然可以访问漏洞,您可以采取以下措施: 1. 禁用Swagger的UI页面,这可以通过在Spring Boot应用程序的配置文件中添加如下配置实现: ``` springfox.documentation.swagger-ui.enabled=false ``` 2. 禁用对/api-docs端点的公开访问,这可以通过在Spring Boot应用程序的配置文件中添加如下配置实现: ``` springfox.documentation.swagger.v2.path=/swagger/api-docs springfox.documentation.swagger.v2.use-resolved-schema=false ``` 3. 在nginx或其他反向代理中配置访问控制,以确保仅允许经过身份验证和授权的用户访问/api-docs端点。 总之,确保正确配置Swagger是非常重要的,以避免诸如此类的安全漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值