Swagger API 未授权访问漏洞

合集 - 漏扫合集(7)

1.Nginx:CVE-2021-23017;CVE-2022-417422023-06-012.NGINX版本信息泄露2023-06-01

3.Swagger API 未授权访问漏洞2023-06-01

4.Nginx 平滑升级2023-06-025.Spring Boot Actuator 未授权访问漏洞2023-06-036.JQuery-XSS漏洞（CVE-2020-11022/CVE-2020-11023）2023-06-077.缓慢的http拒绝服务攻击2023-08-07

收起

Swagger API 未授权访问漏洞

详细描述

Swagger 是一个规范和完整的框架，用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。相关的方法，参数和模型紧密集成到服务器端的代码，允许API来始终保持同步。

Swagger生成的API文档，是直接暴露在相关web路径下的。所有人均可以访问查看。通过这一点即可获取项目上所有的接口信息。那么结合实际业务，例如如果有文件读取相关的接口，可能存在任意文件下载，相关的业务访问可能存在未授权访问等。

参考链接：https://www.sec-in.com/article/476

修复建议

• 在生产节点禁用Swagger2:
  • 使用注解@Profile({"dev","test"}) 表示在开发或测试环境开启，而在生产关闭。
  • 使用注解@ConditionalOnProperty(name = "swagger.enable", havingValue = "true") 然后在测试配置或者开发配置中 添加 swagger.enable = true 即可开启，生产环境不填则默认关闭Swagger。
  • 在配置文件里添加一个swagger.enable属性，根据不同的application-xx.yml进行动态插入true或false即可。然后在Swagger配置中进行设置:

    @Value("${swagger.enable}")
    private Boolean enable;
    
    @Bean
    public Docket swaggerPersonApi10() {
        return new Docket(DocumentationType.SWAGGER_2)
                .select()
                .apis(RequestHandlerSelectors.basePackage("org.demo.swagger2.controller"))
                .paths(PathSelectors.any())
            	.enable(enable)
                .build()
                .apiInfo(apiInfo());
    }