信息泄露利用工具 - Swagger API Exploit 1.2

安全编辑

兄弟们，之前hvv行动的时候，甲方爸爸的Swagger接口都快被我盯出火星子了。

上个月在某金融项目里，碰上个贼倔的Swagger文档，明明肉眼看到接口列表，手动测到凌晨三点愣是没挖出东西，气得我当场就想给开发小哥发《论接口防护的十八种错误姿势》。

后来翻GitHub发现个神器，今天就跟你们唠唠实战里怎么用这玩意儿破局。

那次在客户现场做API安全审计，用Burp扫完发现/v2/api-docs返回200，但浏览器打开直接跳登录页——开发把Swagger UI藏得挺深，但接口文档根本没做鉴权。

这时候掏出swagger-exp.py 直接怼python swagger-exp.py  http://site.com/swagger-resources/ ，工具自动把藏在犄角旮旯的接口全扒拉出来，连/internal/transfer/approve这种高危内部审批接口都现了原形。

（别问我最后有没有提权成功，问就是合规测试）

前端用JWT鉴权，Swagger文档里接口明明写着security: []，实际请求却报跨域错误。

这时候工具自带的Chrome启动器就派上用场了——--disable-cors参数一开，直接绕

过了浏览器的同源策略限制，硬生生把本该被拦截的/api/v1/download?

file=../../etc/passwd给捅出来了。开发小哥看到漏洞报告时那表情，跟见了鬼似的。

很多兄弟可能不知道，Swagger接口的参数模板其实藏着黄金矿。有次在某电商平台，

工具自动填充了userId参数后，直接撞出三组未授权访问订单查询接口。

更骚的是当检测到redirectUrl参数时，工具自动往我本地的Web Server发SSRF探测请求，成功触发了内网Redis的未授权访问。

（这里划重点：工具生成的api_summary.txt 一定要逐行看，我在这文件里翻到过带debug=true的监控接口）

我们来提取并讨论上述工具描述中涉及的网络安全关键技术点：

1、数据加密与完整性校验：

• 无论是护网行动还是日常安全防护，数据加密都是防止敏感信息泄露的核心技术。比如在金融系统中，传输层采用AES对称加密保障交易数据安全，而数字签名结合RSA非对称加密用于API接口的身份核验。哈希算法（如SHA-256）则能快速校验数据是否被篡改，比如在Swagger接口扫描中，工具通过对比响应内容的哈希值判断接口是否被恶意修改。
  

2、动态访问控制与防火墙技术：

• 防火墙作为网络边界的第一道防线，通过包过滤、状态检测等规则拦截异常流量。例如在护网场景中，新一代防火墙（如锐捷RG-WALL系列）结合威胁情报库实时阻断攻击流量，而动态访问控制策略可限制未授权用户访问Swagger等敏感接口。但需注意，传统防火墙难以应对内部渗透，需结合零信任架构的持续验证机制。
  

3、入侵检测与威胁感知（IDS/IPS）：

• 入侵检测系统通过流量分析和行为建模发现攻击痕迹。比如在红蓝对抗中，基于网络的IDS能实时识别Swagger接口的异常参数填充（如../../etc/passwd路径遍历），而基于主机的IDS可追踪提权操作日志。结合机器学习技术，这类系统能更快适应新型攻击手法，如API认证绕过的变种攻击。
  

4、零信任架构与持续验证：

• 零信任的“永不信任，始终验证”原则在远程办公和云环境中尤为重要。例如某次攻防演练中，工具通过删除Swagger文档的securitySchemes字段绕过OAuth认证，而零信任架构下的微隔离技术可阻止此类横向移动，动态权限管理则能限制高危接口（如/admin/resetPassword）的调用权限。
  

5、自动化安全测试与漏洞挖掘：

• 渗透测试工具（如文中的Swagger-exp）结合模糊测试、流量重放等技术，能高效发现未授权访问和逻辑漏洞。例如在API安全审计中，工具自动填充参数模拟撞库，或通过本地代理修改请求头绕过CORS限制。此类技术需搭配威胁情报和漏洞库（如CVE），实现从扫描到修复的闭环。
  

下载链接

https://github.com/lijiejie/swagger-exp

声明：该文章来自作者日常学习笔记，未经授权，严禁转载，

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与本人与论坛无关。

admin

可以ke以