swagger关闭/v2/api-docs仍然可以访问漏洞

这篇具有很好参考价值的文章主要介绍了swagger关闭/v2/api-docs仍然可以访问漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

今天接到安全团队的说swagger有未授权访问漏洞,即使在swagger关闭的情况下http://127.0.0.1:8086/agcloud/v2/api-docs?group=%E7%94%A8%E6%88%B7%E5%85%B3%E8%81%94%E4%BF%A1%E6%81%AF%E6%A8%A1%E5%9D%97仍然还能访问。

看了下原来是有写一个拦截器

        registry.addInterceptor(loginInterceptor).addPathPatterns("/v2/api-docs");
        registry.addInterceptor(loginInterceptor).addPathPatterns("/swagger-ui.html");

断点之后发现是有生效的,/swagger-ui.html不能再访问,但是/v2/api-docs路径还是可以访问,确定拦截器有生效,不是拦截器的问题。

查看基于springMVC请求入口找到DispatcherServlet类,找到doDispatch方法

swagger关闭/v2/api-docs仍然可以访问漏洞

protected void doDispatch(HttpServletRequest request, HttpServletResponse response) throws Exception {
    ......
    try {
        // HandlerMapping根据请求路径选择对应的handler(controller下的某个方法)来处理当前请求
        // 补充下HandlerMapping:
        // 1. 根据当前请求的找到对应的 Handler,
        // 2. 将 Handler(执行程序)与一堆 HandlerInterceptor(拦截器)封装到 HandlerExecutionChain 对象中
        // 3. DispatcherServlet会从容器中取出所有HandlerMapping实例并遍历,让HandlerMapping实例根据自己实现类的方式去尝试查找Handler
        mappedHandler = getHandler(processedRequest);
        ......
        // 根据handler来找到支持它的HandlerAdapter,通过HandlerAdapter执行这个最后的代码处理逻辑得到具体的返回结果
        HandlerAdapter ha = getHandlerAdapter(mappedHandler.getHandler());
        ......
        // 拦截器preHandle处理,按顺序执行
        if (!mappedHandler.applyPreHandle(processedRequest, response)) {
            return;
        }
        // handlerAdapter实际的执行逻辑
        mv = ha.handle(processedRequest, response, mappedHandler.getHandler());
        ......
        // 拦截器postHandle处理
        mappedHandler.applyPostHandle(processedRequest, response, mv);
    } catch (Throwable err) {
            ......
    } finally {
            ......
    }
}

在doDispatch方法中,拦截器的preHandle执行逻辑在mappedHandler.applyPreHandle中,接下来我看下这个方法:

	boolean applyPreHandle(HttpServletRequest request, HttpServletResponse response) throws Exception {
         // 遍历handler绑定的所有interceptors,按顺序执行preHanlde方法
		for (int i = 0; i < this.interceptorList.size(); i++) {
			HandlerInterceptor interceptor = this.interceptorList.get(i);
            // 如果preHandle返回false,则触发afterCompletion方法的执行
			if (!interceptor.preHandle(request, response, this.handler)) {
				triggerAfterCompletion(request, response, null);
				return false;
			}
			this.interceptorIndex = i;
		}
		return true;
	}

debug跟踪到这个方法,发现applyPreHandle方法中this.interceptorList的长度为0,即处理该请求的handler没有绑定任何interceptor。这个时候很容易想到问题可能出现在handlerMapping上,因为handlerMapping负责将handler与一堆 handlerInterceptor(拦截器)封装到 HandlerExecutionChain 对象中

doDispatch中的getHandler方法断点

swagger关闭/v2/api-docs仍然可以访问漏洞

解决方案:

package com.augurit.swj.config.filter;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.core.MethodParameter;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import org.springframework.http.server.ServerHttpRequest;
import org.springframework.http.server.ServerHttpResponse;
import org.springframework.web.bind.annotation.RestControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice;

import java.util.Arrays;
import java.util.List;

/**
 * @ClassName: SwaggerAdvice
 * @Author: zy
 * @Date: 2023/03/06 10:54
 * @Description:
 * 自定的HanderMapping初始化未绑定拦截器,导致拦截器失效
 * 通过ResponseBodyAdvice配合@ControllerAdvice注解,在请求响应体返回之前,校验请求URL
 *
 */
@RestControllerAdvice
public class SwaggerAdvice implements ResponseBodyAdvice {

    @Value("${agcloud.framework.swagger.enable}")
    private boolean swaggerEnable;

    private static final List<String> EXCLUDE_URL = Arrays.asList("/v2/api-docs");

    @Override
    public Object beforeBodyWrite(Object o, MethodParameter methodParameter, MediaType mediaType, Class aClass, ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse) {
        String url = serverHttpRequest.getURI().getHost() + serverHttpRequest.getURI().getPath();
        //增加判断,只有配置文件打开了swagger才能访问
        if(swaggerEnable == true){
            return o;
        }
        if (EXCLUDE_URL.stream().anyMatch(item -> url.contains(item))) {
            serverHttpResponse.setStatusCode(HttpStatus.FORBIDDEN);
            return "没有权限";
        }
        return o;
    }

    @Override
    public boolean supports(MethodParameter methodParameter, Class aClass) {
        return true;
    }
}

参考:记一次自定义拦截器失效的问题排查 - 简书

 文章来源地址https://www.toymoban.com/news/detail-484631.html

到了这里,关于swagger关闭/v2/api-docs仍然可以访问漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • swagger 3.0.0 集成 springboot 2.6+ 生成doc.html 和swagger-ui

    1.项目中引入pom.xml依赖 特别说明: doc.html模式 swagger-bootstrap-ui只支持Swagger 2 knife4j是swagger-bootstrap-ui的升级版,支持Swagger 3。 2.创建Swagger2Config配置类 3.启动类输出文档地址 项目运行后 控制台输出log见下图 点击任意文档链接都可以进入对应的文档

    2024年02月12日
    浏览(66)
  • 【Python】Fastapi swagger-ui.css 、swagger-ui-bundle.js 无法加载,docs无法加载,redocs无法使用

    使用fastapi的时候,swagger-ui.css 、swagger-ui-bundle.js、redoc.standalone.js 有时候无法加载(国内环境原因或者是局域网屏蔽),此时就需要自己用魔法下载好对应文件,然后替换到fastapi里面去。 fastapi里面依靠这2个函数实现docs和redoc: fastapi里面官网给的解决办法: https://github.com

    2024年02月19日
    浏览(44)
  • swagger-bootstrap-ui 报错No mapping for GET /doc.htm,404l,以及无法显示接口文档

    首先是访问http://ip:/doc.htmlhttp://${host}:${port}/doc.htmlhttp://ip:/doc.html报错 1、假如是SpringSecurity项目,可能是configure(WebSecurity web)没有放行,代码如下 在启动类中修改成如下代码 Swagger配置类 Controller类  Swagger依赖

    2024年02月13日
    浏览(43)
  • 为什么如此安全的https协议却仍然可以被抓包呢?(1)

    好了,阅读到了这里,说明你对https已经非常熟悉了,那么你一定知道,https协议是结合了非对称加密和对称加密一起工作,从而保证数据传输的安全性的。 非对称加密用于确保客户端可以安全地获取到服务器的真实公钥。对称加密用于确保客户端和服务器之间的数据传输不

    2024年04月26日
    浏览(41)
  • 如何关闭swagger-ui.html

    要关闭 Swagger UI,您需要停止运行您的应用程序。这将使 Swagger UI 不再可用。 如果您使用的是本地开发服务器,可以使用“CTRL + C”快捷键来停止运行服务器。如果您使用的是远程服务器,则需要使用服务器控制面板或命令行工具来停止服务器。 此外,还可以通过在 Swagger

    2024年02月15日
    浏览(44)
  • springboot项目关闭swagger防止漏洞扫描

    为了应对安全扫描,再生产环境下关闭swagger ui 1、项目中关闭swagger 在这里用的是config配置文件的方式关闭的 在application.properties中增加 来控制关闭,如果想开启就改为true 2、到这里其实已经关闭swagger 了,但是安全扫描还是不能通过,因为访问swagger-ui.html路径会跳出提示sw

    2024年04月16日
    浏览(36)
  • 为什么MySQL输入正确账号密码后仍然拒绝访问

    MySQL在输入正确的账号密码后仍然拒绝访问可能是由于以下几种原因造成的: 账号权限问题,检查该账号是否具有连接数据库的权限。 IP地址限制,检查该账号是否只能在特定的IP地址连接。 MySQL服务器配置问题,检查MySQL服务器是否正常启动并配置正确。 网络连接问题,检

    2024年02月11日
    浏览(48)
  • RabbitMQ的消费者处理消息失败后可以重试,重试4次仍然失败发送到死信队列。

    生产者发送消息时采用雪花算法给消息设置唯一的消息id,消费者接收消息处理失败时,根据消息的唯一id统计失败次数,若没有达到失败次数限制,则让消息重回队列(在开启手动签收的前提),此时队列会再次给消费者发送消息;若达到失败次数限制,则让消息不重回队列,

    2024年02月07日
    浏览(57)
  • Springboot线上环境彻底关闭Swagger-UI

    Springboot线上环境彻底关闭Swagger-UI 1.SwaggerConfig使用@Profile排除线上环境其他环境生效 2.创建一个控制类使用@Profile仅线上环境生效,使访问swagger-ui.html返回404 通过这种方式可以彻底关闭线上环境访问swagger-ui.html直接返回404

    2024年02月16日
    浏览(47)
  • fastapi访问/docs接口,页面空白

    安装好fastapi后,运行服务器,打开 http://127.0.0.1:8000/docs页面空白,原因是通过f12可以看到访问http://127.0.0.1:8000/docs时接口调用了一个js脚本,这个脚本是部署在国外的,总之 就是因为这个原因导致我们没法访问了,由此我们需要把这个脚本从网上下载下来,放到本地,把此处

    2023年04月08日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包