白丝 萝莉 【渗入用具】Swagger API 信息清晰裂缝 用具篇
- 发布日期:2025-07-03 23:44 点击次数:198
免责声名白丝 萝莉
简介白丝 萝莉
默许旅途
Swagger-hack用具
整改冷漠
下载鸠合
眷注公众号
免责声名
图片
图片
本公众号的技巧著作仅供参考,此文所提供的信息只为麇集安全东说念主员对我方所留神的网站、做事器等(包括但不限于)进行检测或诊疗参考,请勿应用著作中的技巧辛勤对任何计较机系统进行入侵操作。应用此文所提供的信息而形成的平直或迤逦成果和耗损,均由使用者本东说念主留神。本文所提供的用具仅用于学习,谢却用于其他!!!
图片
图片
简介
Swagger是一个标准和完竣的框架,用于生成、描写、调用和可视化 RESTful 作风的 Web 做事。总体野心是使客户端和文献系统动作做事器以相同的速率来更新。
讨论的要津,参数和模子空洞集成到做事器端的代码,允许API来长期保握同步。Swagger-UI会阐明开发东说念主员在代码中的开采来自动生成API阐扬文档,若存在讨论的设置颓势,挫折者不错未授权翻查Swagger接口文档,得到系统功能API接口的细心参数,再构造参数发包,通过回显获得系统多半的敏锐信息。
Swagger未开启页面侦察收敛,Swagger未开启严格的Authorize认证。
默许旅途
swagger未授权侦察地址默许旅途
/api/api-docs/api-docs/swagger.json/api.html/api/api-docs/api/apidocs/api/doc/api/swagger/api/swagger-ui/api/swagger-ui.html/api/swagger-ui.html//api/swagger-ui.json/api/swagger.json/api/swagger//api/swagger/ui/api/swagger/ui//api/swaggerui/api/swaggerui//api/v1//api/v1/api-docs/api/v1/apidocs/api/v1/swagger/api/v1/swagger-ui/api/v1/swagger-ui.html/api/v1/swagger-ui.json/api/v1/swagger.json/api/v1/swagger//api/v2/api/v2/api-docs/api/v2/apidocs/api/v2/swagger/api/v2/swagger-ui/api/v2/swagger-ui.html/api/v2/swagger-ui.json/api/v2/swagger.json/api/v2/swagger//api/v3/apidocs/apidocs/swagger.json/doc.html/docs//druid/index.html/graphql/libs/swaggerui/libs/swaggerui//spring-security-oauth-resource/swagger-ui.html/spring-security-rest/api/swagger-ui.html/sw/swagger-ui.html/swagger/swagger-resources/swagger-resources/configuration/security/swagger-resources/configuration/security//swagger-resources/configuration/ui/swagger-resources/configuration/ui//swagger-ui/swagger-ui.html/swagger-ui.html#/api-memory-controller/swagger-ui.html//swagger-ui.json/swagger-ui/swagger.json/swagger.json/swagger.yml/swagger//swagger/index.html/swagger/static/index.html/swagger/swagger-ui.html/swagger/ui//Swagger/ui/index/swagger/ui/index/swagger/v1/swagger.json/swagger/v2/swagger.json/template/swagger-ui.html/user/swagger-ui.html/user/swagger-ui.html//v1.x/swagger-ui.html/v1/api-docs/v1/swagger.json/v2/api-docs/v3/api-docsFOFA:
'swagger/index.html'
图片
找到一个测试地址图片
不错装配浏览器插件Swagger-UI图片
装配完成后会在Swagger接口清晰的一个站点上知道Authorize弱点字,点击按钮不错输入认证信息。图片
图片
侦察swagger/v1/swagger.json文献目次存在好多接口清晰Swagger-hack用具
在测试Swagger API 信息清晰裂缝时,有的清晰接口十分多,每一个齐手动去试根底试不外来 找到一个Swagger-hack用具,不错自动化侦察通盘接口python swagger-hack2.0.py -u 'http://X.X.X.X/swagger/v0.0.0.0/swagger.json'图片
图片
整改冷漠
在坐褥节点禁用Swagger2,在maven中禁用所关联于Swagger包谄媚SpringSecurity/shiro进行认证授权,将Swagger-UI的URLs加入到各自的认证和授权过滤链中,当用户侦察Swagger对应的资源时,惟有通过认证授权的用户才智进行侦察。
swagger: config: # 开启身份认证功能 login: true username: admin password: admin
谄媚nginx/Filter对对应的接口端点进行侦察收敛。enable = false 关闭
public Docket createRestApi() { return new Docket(DocumentationType.SWAGGER_2) .apiInfo(apiInfo()).enable(false) .select() //为刻下包旅途 .apis(RequestHandlerSelectors.any()) .paths(PathSelectors.any()) .build(); }下载鸠合
眷注公众号恢复 :“20241120”眷注公众号
扫码眷注
小C学安全
获得更多精彩实质
夜夜撸-END-白丝 萝莉
本站仅提供存储做事,通盘实质均由用户发布,如发现存害或侵权实质,请点击举报。相关资讯