0x01 工具介绍 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Respo...
Spring Boot项目中禁用Swagger:安全加固与实践指南
摘要本文详细介绍了如何在Spring Boot项目中禁用Swagger功能,以增强项目的安全性并防止潜在的安全漏洞扫描。通过彻底关闭Swagger,项目在面对安全扫描时将更加稳固。文章提供了具体的配置...
漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感
本篇文章共 2000字,完全阅读全篇约 3 分钟 州弟学安全,只学有用的知识 前言 好久没有写渗透测试的文章了,因为这段时间工作和其它原因一直没时间,今天就简单水一下某次SRC的思路吧,从信息收集到接...
【JavaWeb系统代码审计实战】某RBAC管理系统(一)SpringBoot介绍与项目安装
前言本系列为【炼石计划@Java代码审计】知识星球实战50套开源系统删减版,也就是每一套分享部分内容给大家学习。如果觉得写得还不错,并且想要从实践中学习JavaWeb代码审计的朋友,欢迎了解加入【炼石...
简述API安全
免责声明 ❝ 由于传播、利用本公众号"隼目安全"所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号"隼目安全"及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告...
Springboot heapdump泄露读取分析
1. Springboot信息泄露1.1 可能泄露路由列表/api-docs /v2/api-docs /swagger-ui.html /api.html /sw/swagger-ui.html /...
AJ-Report 可视化大屏漏洞复现
AJ-Report是全开源的一个BI平台,酷炫大屏展示,能随时随地掌控业务动态,让每个决策都有数据支撑。多数据源支持,内置mysql、elasticsearch、kudu驱动,支持自定义数据集省去数据...
【SRC】-实战中常用工具整理(一)
在网络安全领域,一句古语“工欲善其事,必先利其器”被赋予了新的含义:要想在漏洞挖掘工作中事半功倍,我们须用些适合自己的工具。工具一:360QUAKE地址:https://quake.36...
漏洞挖掘 | Swagger UI 目录枚举小总结
通过 Swagger UI 目录枚举挖掘漏洞 前言 Swagger UI 被广泛用于可视化和交互式操作 API,但开发人员经常错误配置它,或无意间暴露了敏感的端点。通过掌握 Swagge...
网安牛马碰见WAF如何凑出渗透报告漏洞数量?
当初熊猫为了脱离“菜鸡”称号可谓是煞费苦心,在测试有WAF防护的网站时,也会想办法凑出一堆中低危漏洞来充实报告内容,以证实工作量,便于划水...... 那都有哪些漏洞可以用来凑数量呢? WARN &n...
swagger接口漏洞测试
点击蓝字关注我们声明本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全等违法行为后果自负,与本号及作者无关。大家好我是小迪徒弟,已经学习7个月了,在学习过程中在小迪老师这里学习...
edusrc 某中学Swagger接口泄露未授权漏洞挖掘
一、对目标资产进行信息收集打开目标网站发现只有一个智慧校园扫码登入、不能直接从登入界面下手,换个思路,先对其指纹和目录扫描均未发现任何有用的信息。查看API接口,发现该目标存在其他资产二、对Sping...