网站存在未授权访问漏洞--Swagger

最新推荐文章于 2025-05-23 15:07:41 发布
最新推荐文章于 2025-05-23 15:07:41 发布
阅读量1.6k 收藏
点赞数 20
CC 4.0 BY-SA版权
分类专栏: 使用小技巧 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Gemini1995/article/details/140369542

在使用swagger 之后之后虽然提供了方便,但是却经常收到相关网络安全预警通报。所以今天记录以下相关简单快捷的关闭方法。

如果用的是OpenAPI
例子

@Configuration
@Profile({"dev", "test"})
public class OpenAipConfig {

    @Bean
    public OpenAPI openAPI() {
        OpenAPI openAPI = new OpenAPI();
        Info info = new Info();
        info.setDescription("测试");
        openAPI.setInfo(info);
        return openAPI;
    } 

}

则可以在application.yml 添加以下配置实现禁用


springdoc:
  swagger-ui:
    enabled: false   ## 只配置这个 只是访问doc.html 访问异常  但/v3/api-docs/ 可以正常访问
  api-docs:
    enabled: false  ## 导致 /v3/api-docs/ 访问异常

如果用的是 Docket

例子

@Configuration
public class SwaggerConfig {

    @Bean
    @Profile({"dev", "test"})
    public Docket aTest() {
        AlternateTypeRule newRule = AlternateTypeRules.newRule(Date.class, Long.class);
        ApiInfo apiInfo = new ApiInfo("测试", "测试接口文档",
                "1.0", "", null, "", "",
                new ArrayList<>(0));
        return new Docket(DocumentationType.OAS_30)
                .ignoredParameterTypes(User.class, CurrLogin.class, DevelopmentBaseVo.class)
                .apiInfo(apiInfo)
                .enable(true)
                .alternateTypeRules(newRule);
    }
}

则可以在application.yml 添加以下配置实现禁用

springfox:
  documentation:
    enabled: false
网安漏洞知识系列:spring boot未授权访问Swagger漏洞处理
weixin_54626591的博客
07-19 1970
spring boot未授权访问Swagger漏洞处理
Swagger的原理及应用详解(十一)
凛鼕将至的博客
07-07 926
SwaggerOpenAPI Specification)是一个功能强大的框架和规范,它通过自动化生成文档、提供详细的API描述以及支持调用和可视化等功能,极大地简化了API的设计、构建、使用和理解过程。无论是在企业内部还是跨企业的API合作中,Swagger都发挥着重要的作用。 本文将跟随《Swagger的原理及应用详解(十)》的进度,继续介绍Swagger。希望通过本系列文章的学习,您将能够更好地理解Swagger的内部工作原理,掌握Swagger的使用技巧,以及通过合理的设计完
spring boot未授权访问Swagger漏洞处理
yudaxiaye的博客
06-20 2万+
无需修改源码,处理spring boot未授权访问Swagger漏洞处理
API接口测试/Swgger-ui未授权访问
qq_68163788的博客
07-03 3019
API(Application Programming Interface)是应用程序开发接口的缩写,意思是一些预设好的函数或方法,这些预设好的函数或方法允许第三方程序通过网络来调用数据或提供基于数据的服务。 Web API是网络应用程序接口。包含了广泛的功能,网络应用通过API接口,可以实现存储服务、消息服务、计算服务等能力,利用这些能力可以进行开发出强大功能的web应用。
Swagger API 未授权访问漏洞【原理扫描】修复
最新发布
weixin_43993310的博客
05-23 2908
Swagger API 未授权访问漏洞【原理扫描】修复
一文解决:Swagger API 未授权访问漏洞问题
LiamHong_的博客
10-27 3万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决问题。
详细解决:Swagger API 未授权访问漏洞问题
2401_86343726的博客
12-09 6108
通过这些步骤,可以保护 Swagger API 免受未授权访问漏洞的威胁,并提供适当的访问控制机制。在 Swagger API 中,如果没有适当的访问控制措施,攻击者可以通过查看 Swagger 文档中的 API 接口和参数,发现和利用未受保护的 API。你可以在 IDEA 中自动同步 Swagger 注解到 Apifox,一键生成接口文档,多端同步,非常方便测试和维护,这样就可以迅速分享 API 给其他小伙伴。Swagger 管理接口有时很不方便,缺乏一定的安全性和团队间的分享协作,你也试试。
swagger 未授权访问漏洞修复,这可能是你看到的最好的解决方案!
热门推荐
记录点滴
09-26 4万+
大多数人都是直接禁用swagger,这样一来就给开发人员带来了负担,因为需要解决接口文档的问题,相信大家用惯了swagger文档,都不愿意自己再去手动写接口文档了。swagger未授权访问主要的路径如下,根据版本不同或者自定义的路径,可能会有一定的差异,自定义路径的只需要把自己的路径添加进来即可。通过以上方式,即解决了swagger未授权访问的问题,又解决了通过token授权访问的问题!怎样才能方便的修复未授权访问漏洞,同时又能通过验证正常访问swagger文档呢?的方式对请求进行验证,
针对Swagger接口泄露未授权访问的各种姿势
2401_83799022的博客
08-05 2万+
然后先从Swagger漏洞的相关简介,再到相关使用的插件包括工具等的使用,然后再从实战中的案例进行解析和讲解。关键字,这个你可以点击下,这个标识就是表示这个泄露的 接口需要我们输入加密的信息,要是按照正常的直接访问这个泄露的api接口,然后看敏感信息就不可行了,下面我来带大家使用一个Swagger脚本工具来给师傅们演示下。上面给师傅们分享的都是这几天的收获,然后前面的简介包括对于Swagger接口泄露和未授权也是解释方面也是蛮细的,也蛮适合新手宝宝看的文章,也是希望这篇文章对看的师傅们有些帮助哈!
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
自动检测所有的流量,然后将可能存在未授权访问漏洞的URL显示到UAScan的页面中。 一般建议在登录某系统后使用,是挖掘未授权访问漏洞的利器。 目前只排除了静态文件,后续可以自定义排除规则 开发者 小迪安全团队...
未授权访问漏洞
snowy_y的博客
06-23 1092
未授权访问
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
Swagger漏洞——spring boot未授权访问Swagger漏洞处理
daralisdan的博客
04-01 2266
无需修改源码,处理spring boot未授权访问Swagger漏洞处理
Swagger接口未授权访问漏洞
lanren312的博客
06-16 7751
处理办法,加上enable(false)或者将SwaggerConfig给注释掉,弊端就是你自己也访问不了接口文档。通过下面链接可以获取到接口信息。
swagger-ui未授权访问【原理扫描】 漏洞处理
zengliguang的专栏
11-06 3053
什么是未授权访问Swagger - UI 原理与未授权访问风险扫描原理防范措施
swaggerui未授权访问漏洞笔记
enthan809882的博客
06-13 1万+
swaggerui未授权访问漏洞笔记
未授权漏洞
Dasdwer的博客
03-24 8204
未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
寒假学习第二天----批量刷Swagger未授权访问漏洞
m0_73581247的博客
01-11 2103
Swagger是一种用于设计、构建和文档化RESTful Web服务的开源框架。它提供了一种规范和工具集,可以帮助开发人员定义、构建、测试和文档化API。使用Swagger,开发人员可以使用简单易读的格式(比如YAML或JSON)编写API规范,描述API的路径、操作、参数、响应等信息。Swagger可以根据这些规范生成交互式API文档,使得其他开发人员可以轻松地了解和使用API。
swagger-ui未授权访问漏洞
04-24
Swagger-UI是一个用于可视化和测试RESTful API的工具。未授权访问漏洞是指攻击者可以通过未经身份验证和授权的方式访问Swagger-UI界面,从而获取敏感信息或者执行未授权的操作。 未授权访问漏洞可能导致以下安全风险: 1. 敏感信息泄露:攻击者可以通过Swagger-UI获取API文档、请求参数、响应数据等敏感信息,从而了解系统的内部结构和实现细节。 2. 未授权操作:攻击者可以利用Swagger-UI执行未授权的操作,例如创建、修改或删除资源,可能导致数据损坏或系统崩溃。 3. 暴力破解:攻击者可以使用Swagger-UI进行暴力破解,尝试不同的API请求和参数组合,以获取系统的访问权限。 为了防止Swagger-UI未授权访问漏洞,可以采取以下措施: 1. 认证和授权:在Swagger-UI中启用认证和授权机制,要求用户登录并验证其身份后才能访问API文档和测试功能。 2. IP过滤:限制只有特定IP地址或IP地址范围的用户可以访问Swagger-UI界面,防止外部未经授权的访问。 3. HTTPS加密:使用HTTPS协议加密通信,确保传输的数据不被窃取或篡改。 4. 定期更新:及时更新Swagger-UI版本和相关依赖库,以修复已知的安全漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值