在测试中偶尔会碰到swagger并插入到swagger并放置到swagger上,并在其中交替使用 :
python编写了一个脚本自动爬取所有接口,配置好传参发包访问
原理是首先抓取http:// url / swagger-resources 获取到一些标准和对应的文档地址而后对每个标准下的接口文档进行解析,构造请求包,获取响应
尽量考虑到了所有可能的传参格式,实际测试只有少数几个会500或400响应需要手动修改一下,其余都是401或200 200即未授权访问接口了,可以进一步做其他诸如sqli等测试运行
所有测试结果都存储在csv中:
项目地址:
https://github.com/jayus0821/swagger-hack
本文始发于微信公众号(Khan安全攻防实验室):神兵利器 - swagger-hack
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论