swaggerui未授权访问漏洞笔记

原创

chushiyunaaa 2023-06-17 21:02:51 ©著作权

©著作权归作者所有：来自51CTO博客作者chushiyunaaa的原创作品，请联系作者获取转载授权，否则将追究法律责任

场景

安全扫描，扫描到了swaggerui未授权访问漏洞。

请求描述：

{"url":"http://10.12.180.159:15065//swagger-resources",
"method":"GET","params":[]}

返回报文：

[
    {
        "name": "default",
        "location": "/v2/api-docs",
        "swaggerVersion": "2.0"
    }
]

这在安全来说，涉及到数据泄露，因此需要修复。

一般来说，引入swagger的时候都应该留有开关。这样的话，通过配置就能解决。
例如：

swagger.enabled=false

或：

knife4j:
  enable: false

knife4j是一种集成了swagger和openapi的框架，所以有时是这个配置。

这和上面说的配置调整，其实算是一回事，就是在swagger配置类里面加开关(方式不只一种，起到效果即可)。

例如：

@Configuration
@EnableSwagger2
@ConditionalOnProperty(name="swagger.enabled",havingValue = "true")
public class SwaggerConfig {
}

当然，如果确定不用。更简单粗暴的办法是直接注释掉这个类，也是可以的。

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯