接口文档背景
随着前后端分离架构的优势越来越明显,前后端分离的应用场景也越来越广,如今前后端分离已成为互联网项目开发的业界标准使用方式,而为了前后端程序员在实际开发中能够有统一的接口文档去调试,因此也随着衍生出了很多API接口文档以及调试工具,如swagger、docway、yapi、Web Api HelpPage等。再结合之前挖掘SRC以及甲方工作中也发现过多处这种问题,汇总案例,输出一篇Swagger UI接口文档下的测试文章。
认识Swagger
Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务,JAVA在金融机构开发语言的地位一直居高不下,而作为JAVA届服务端的大一统框架Spring,便将Swagger规范纳入自身的标准,建立了Spring-swagger项目,所以在实际测试环境中,基于spring框架的swagger-ui接口展示及调试文档页面最为常见。我们先来看某个Swagger UI页面,如图所示,接口中存在查询用户信息、上传文件等多个敏感操作。
在每个接口中也有详细的参数介绍,包括参数类型等,再也不用去fuzz接口参数了,直接根据参数类型构造参数就完事了~
如何发现Swagger UI
1.通过js查找在网站的config等关键词js文件中查找:
2.通过路径字典爆破以下为搜集到swagger接口常见路径,亲测匹配率很高。
/swagger//api/swagger//swagger/ui//api/swagger/ui//swagger-ui.html//api/swagger-ui.html//user/swagger-ui.html//swagger/ui//api/swagger/ui//libs/swaggerui//api/swaggerui//swagger-resources/configuration/ui//swagger-resources/configurat
最低0.47元/天 解锁文章
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
