Swagger-UI是一个显示API文档的。
Swagger是一款接口的文档在线自动生成,功能测评框架,使人和计算机在看不到源码或者看不到文档或者不能通过网络流量检测的情况下能发现和理解各种服务的功能。
而如果Swagger-UI接口对外可以访问会造成怎么样的安全风险呢?
如何去发现Swagger-UI
当访问一个页面时,会报错,可根据报错回显这是Spring报错接口信息:
Spring站点会出现一个小绿叶,或者访问/favcion.ico
使用burp的爆破带上spring-boot进行一个爆破:寻找api接口文档再进行下一步利用:
漏洞利用:
若有收获,就点个赞吧
0 人点赞
