当前位置: 首页 > news >正文

焦作做网站最专业的公司仿拉勾网 wordpress

news 2025/10/29 3:14:46
焦作做网站最专业的公司,仿拉勾网 wordpress,国内移动端网站做的最好的,如何搭建Swagger UI敏感信息泄露 漏洞定义 Swagger UI是一个交互式的、可视化的RESTful API文档工具,它允许开发人员快速浏览、测试API接口。Swagger UI通过读取由Swagger(也称为OpenAPI)规范定义的API描述文件(如swagger.json或swagger…

Swagger UI敏感信息泄露

漏洞定义

Swagger UI是一个交互式的、可视化的RESTful API文档工具,它允许开发人员快速浏览、测试API接口。Swagger UI通过读取由Swagger(也称为OpenAPI)规范定义的API描述文件(如swagger.json或swagger.yaml),自动生成易于理解的API文档,极大地简化了API的使用和测试过程。

                

漏洞危害

当Swagger UI的配置存在缺陷,如未设置访问控制、未启用严格的授权认证或直接在UI中展示敏感信息时,就可能导致敏感信息泄露。这种泄露是指未经授权的用户能够访问到原本应该受到保护的API文档和其中的敏感信息。

               

漏洞检测

访问Swagger UI未授权访问路径,可以通过BP抓包,然后再通过BP对该接口路径进行爆破

/api
/api-docs
/api-docs/swagger.json

                 

检测脚本

原理

使用域名拼接Swagger UI未授权访问路径(http://www.test.com/api-docs/swagger.json),然后模拟浏览器进行访问。若状态码200且页面长度大于0,则可能存在信息泄露,需要人工对检测结果进行最终的验证 。

                 

用法

python scanner.py urls.txt的文件路径

注意:检测结果不可避免的存在一些误报,需要人工对检测结果进行最终的验证 

                 

代码

api.txt

api-docs/swagger.json
actuator
actuator/./env
actuator/auditLog
actuator/auditevents
actuator/autoconfig
actuator/beans
actuator/caches
actuator/conditions
actuator/configurationMetadata
actuator/configprops
actuator/dump
actuator/env
actuator/events
actuator/exportRegisteredServices
actuator/features
actuator/flyway
actuator/health
actuator/healthcheck
actuator/httptrace
actuator/hystrix.stream
actuator/info
actuator/integrationgraph
actuator/jolokia
actuator/logfile
actuator/loggers
actuator/loggingConfig
actuator/liquibase
actuator/metrics
actuator/mappings
actuator/scheduledtasks
actuator/swagger-ui.html
actuator/prometheus
actuator/refresh
actuator/registeredServices
actuator/releaseAttributes
actuator/resolveAttributes
actuator/scheduledtasks
actuator/sessions
actuator/springWebflow
actuator/sso
actuator/ssoSessions
actuator/statistics
actuator/status
actuator/threaddump
actuator/trace
actuator/env.css
artemis-portal/artemis/env
artemis/api
artemis/api/env
auditevents
autoconfig
api
api.html
api/actuator
api/doc
api/index.html
api/swaggerui
api/swagger-ui.html
api/swagger
api/swagger/ui
api/v2/api-docs
api/v2;%0A/api-docs
api/v2;%252Ftest/api-docs
api-docs
beans
caches
cloudfoundryapplication
conditions
configprops
distv2/index.html
docs
doc.html
druid
druid/index.html
druid/login.html
druid/websession.html
dubbo-provider/distv2/index.html
dump
decision/login
entity/all
env
env.css
env/(name)
eureka
flyway
functionRouter
gateway/actuator
gateway/actuator/auditevents
gateway/actuator/beans
gateway/actuator/conditions
gateway/actuator/configprops
gateway/actuator/env
gateway/actuator/health
gateway/actuator/httptrace
gateway/actuator/hystrix.stream
gateway/actuator/info
gateway/actuator/jolokia
gateway/actuator/logfile
gateway/actuator/loggers
gateway/actuator/mappings
gateway/actuator/metrics
gateway/actuator/scheduledtasks
gateway/actuator/swagger-ui.html
gateway/actuator/threaddump
gateway/actuator/trace
gateway/routes
health
httptrace
hystrix
info
integrationgraph
jolokia
jolokia/list
jeecg/swagger-ui
jeecg/swagger/
libs/swaggerui
liquibase
list
logfile
loggers
liquibase
metrics
mappings
monitor
nacos
prod-api/actuator
prometheus
portal/conf/config.properties
portal/env/
refresh
scheduledtasks
sessions
spring-security-oauth-resource/swagger-ui.html
spring-security-rest/api/swagger-ui.html
static/swagger.json
sw/swagger-ui.html
swagger
swagger/codes
swagger/doc.json
swagger/index.html
swagger/static/index.html
swagger/swagger-ui.html
Swagger/ui/index
swagger/ui
swagger/v1/swagger.json
swagger/v2/swagger.json
swagger-dubbo/api-docs
swagger-resources
swagger-resources/configuration/ui
swagger-resources/configuration/security
swagger-ui
swagger-ui.html
swagger-ui.html;
swagger-ui/html
swagger-ui/index.html
system/druid/index.html
system/druid/webseesion.html
threaddump
template/swagger-ui.html
trace
users
user/swagger-ui.html
version
v1/api-docs/
v2/api-docs/
v3/api-docs/
v1/swagger-resources
v2/swagger-resources
v3/swagger-resources
v1.1/swagger-ui.html
v1.1;%0A/api-docs
v1.2/swagger-ui.html
v1.2;%0A/api-docs
v1.3/swagger-ui.html
v1.3;%0A/api-docs
v1.4/swagger-ui.html
v1.4;%0A/api-docs
v1.5/swagger-ui.html
v1.5;%0A/api-docs
v1.6/swagger-ui.html
v1.6;%0A/api-docs
v1.7/swagger-ui.html
v1.7;%0A/api-docs
v1.8/swagger-ui.html
v1.8;%0A/api-docs
v1.9/swagger-ui.html
v1.9;%0A/api-docs
v2.0/swagger-ui.html
v2.0;%0A/api-docs
v2.1/swagger-ui.html
v2.1;%0A/api-docs
v2.2/swagger-ui.html
v2.2;%0A/api-docs
v2.3/swagger-ui.html
v2.3;%0A/api-docs
v1/swagger.json
v2/swagger.json
v3/swagger.json
v2;%0A/api-docs
v3;%0A/api-docs
v2;%252Ftest/api-docs
v3;%252Ftest/api-docs
webpage/system/druid/websession.html
webpage/system/druid/index.html
webroot/decision/login
webjars/springfox-swagger-ui/swagger-ui-standalone-preset.js
webjars/springfox-swagger-ui/swagger-ui-standalone-preset.js?v=2.9.2
webjars/springfox-swagger-ui/springfox.js
webjars/springfox-swagger-ui/springfox.js?v=2.9.2
webjars/springfox-swagger-ui/swagger-ui-bundle.js
webjars/springfox-swagger-ui/swagger-ui-bundle.js?v=2.9.2
%20/swagger-ui.html

scanner.py

import sys
import requests
import pandas as pd
from typing import List, Dict, Anyscan_results: List[Dict[str, Any]] = []def read_file(file_path):try:with open(file_path, 'r', encoding='utf-8') as file:  # 指定编码为utf-8lines = file.readlines()# 去除每行末尾的换行符和空行lines = [line.strip() for line in lines if line.strip()]return linesexcept FileNotFoundError:print(f"错误: {file_path} 文件不存在!")sys.exit(1)  # 退出程序并返回错误码1except IOError:print(f"错误: {file_path} 文件读取失败!")sys.exit(1)  # 退出程序并返回错误码1def export_to_excel(data, file_name):df = pd.DataFrame(data)try:# 将DataFrame写入Excel文件,不包括索引df.to_excel(file_name, index=False)print(f"结果已写入文件: {file_name}")except IOError:print(f"结果写入出错: {file_name}.")# 检查目标URL是否存在Swagger UI信息泄露,并返回相关信息
def check_swagger_ui(url):# 从api.txt文件中读取需要扫描的所有apiapi = read_file('api.txt')for a in api:full_url = url +'/'+ a #拼接成新的urltry:# 发送GET请求到目标URLresponse = requests.get(full_url, timeout=5)status_code = response.status_code  # 获取状态码content_length = len(response.content)  # 获取页面长度(字节数)# 请求成功并且内容不为空if status_code == 200 and content_length > 0:print("True :",full_url,"\t\t长度:",content_length)scan_results.append({'url': full_url, '状态':status_code,'漏洞': True,'长度': content_length})else:print("False:", full_url)except requests.RequestException as e:print("False:", full_url)if __name__ == "__main__":# 如果提供了命令行参数,则使用它作为文件路径,否则使用默认路径if len(sys.argv) > 1:urls_path = sys.argv[1]else:# 默认文件路径,假设它与脚本在同一目录中urls_path = 'urls.txt'# 从urls.txt文件中读取需要扫描的所有urlurls = read_file(urls_path)# 依次遍历需要扫描的urlfor url in urls:check_swagger_ui(url)# 将检测结果集导出为xlsx文档export_to_excel(scan_results, 'result.xlsx')
http://www.yayakq.cn/news/853729/

相关文章:

  • 照明做外贸的有那些网站怎么做网站链接的快捷方式
  • 怎么看出是模板网站饭店网站建设策划方案
  • jsp网站开发代码下载阳谷聊城网站优化
  • 网站建设综合推荐厦门小程序开发的公司
  • seo如何推广网站正能量erp软件下载
  • 那个网站有题做网站信息安全保障制度建设情况
  • 沧州做网站的公司排名wordpress 破解商场主题
  • 网站策划书的撰写外呼电销系统
  • 专业做化妆品的网站有哪些360提示危险的网站
  • 中国查公司的网站接外贸订单的平台
  • 网站运营主要做什么工作网站建设与维护课程标准
  • 80后陈某做盗版视频网站开发商城网站开发
  • 三门峡市湖滨区建设局网站网站建设问题表
  • 南宁手机建站公司网站设计公司佛山
  • 建设厅网站上报名cute模板wordpress
  • 合肥做网站的软件公司找工作附近上8小时的双休
  • 天津专门做网站优化百度百科
  • 公明做网站的公司网站建设的数据储存在哪里
  • 电脑网站适应手机如何做wordpress 搜索类似淘宝
  • 免费中英文网站源码山西省吕梁市孝义市
  • 银川网站建设公司电话上海网站建设类岗位
  • 响应式网站介绍阿里云服务器做电影网站吗
  • 浙江省建设工程造价协会网站游网站建设方案内容
  • wordpress更改域名修改站内链接大连建立网页
  • 重庆网站推广产品企业关于 建设 二级网站
  • 网站seo外包公司有哪些网络基础知识
  • 16年百度对泛解析网站的惩罚怎么搭建一个小程序
  • 宁夏做网站找谁wordpress搜索安全
  • 网站系统 外贸北海建设网站
  • 流程网站网页具有动画网站建设技术