swagger - 第 7 | CN-SEC 中文网

安全工具

如何使用APIDetector高效识别目标域名暴露的Swagger节点

关于APIDetectorAPIDetector是一款针对Swagger的强大安全扫描工具，该工具可以帮助广大研究人员高效扫描和识别目标Web域名及子域名中暴露的Swagger节点。该工具是一款智能化...

02月26日25 views评论

阅读全文

安全文章

Swagger接口安全测试

基本介绍Swagger是一种用于描述、构建和使用RESTful API的开源框架，它提供了一套工具和规范，帮助开发者设计、文档化和测试API以及生成客户端代码和服务器存根，Swagger的核心组件是O...

02月21日30 views评论

阅读全文

安全漏洞

某系统存在弱口令+未授权+命令执行+信息泄露漏洞

No.0前言漏洞基本上已修复No.1入口从config.js获取大量接口实现漏洞大满贯No.2弱口令dev/DevAdminNo.3swagger未授权访问+信息泄露swagger中有大量接口，可通过...

02月15日44 views评论

阅读全文

安全文章

Swagger接口管理未授权导致任意用户登陆

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。这是很久之前的一个授权项目了，目的就是想尽一切办法拿到这个授权站点的漏洞，虽然老板说简简单单弄一下，出一点...

02月09日25 views评论

阅读全文

安全文章

SRC测试指南：从APl接口泄露到数据加解密的深入分析

0x01 API接口泄露Web端Web应用很多都是后端Springboot+前端Webpack的组合，在后端Springboot安全的时候，那么可以通过Webpack获取到目标系统的API接口信息。打...

02月05日85 views评论

阅读全文

安全文章

针对Swagger的另类绕过

前言Swagger是一个规范和完整的框架，用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。相关的方法，参数和模型紧密集成到...

02月04日109 views评论

阅读全文

代码审计

深入学习Java代码审计技巧—详细剖析某erp漏洞

简介对于Java代码审计，主要的审计步骤如下：确定项目技术框架、项目结构环境搭建配置文件的分析：如pom.xml、web.xml等，特别是pom.xml，可以从组件中寻找漏洞Filter分析：Filt...

02月04日26 views评论

阅读全文

安全文章

详细剖析某erp漏洞

扫码领资料获网安教程深入学习Java代码审计技巧—详细剖析某erp漏洞简介对于Java代码审计，主要的审计步骤如下：确定项目技术框架、项目结构环境搭建配置文件的分析：如pom.xml、web.xml等...

02月04日17 views评论

阅读全文

安全文章

实战纪实 | 某医院系统swagger接口未授权 + Springboot信息泄露

扫码领资料获网安教程本文由掌控安全学院 - 17828147368 投稿开局还是先测一下登录框，弱密码走一波，无果通过指纹识别出该站是springboot开发，扫描目录查看是否存在泄露存在泄露，访问地...

02月01日16 views评论

阅读全文

安全文章

实战纪实 | 医院系统swagger接口未授权 + Springboot信息泄露

前言开局还是先测一下登录框，弱密码走一波，无果通过指纹识别出该站是springboot开发，扫描目录查看是否存在泄露存在泄露，访问地址很多接口，不可能一个一个手动测试吧，上工具：swagger-hac...

02月01日14 views评论

阅读全文

安全文章

Swagger UI渗透实战

如何发现Swagger UI正常情况下，当访问一个网页出现以下错误，可根据报错回显看出这是典型Spring的接口报错信息另外Spring站点的默认logo是片小绿叶，可以观察下报错页的logo有没有小...

01月29日89 views评论

阅读全文

安全文章

JAVA常用组件未授权漏洞解析

文章目录前言 Druid未授权漏洞修复建议 SwaggerUI未授权漏洞 Spring boot Actuator未授权漏洞漏洞发现 Spring Eureka未授权访问漏洞漏洞利用方式漏洞...

01月25日35 views评论

阅读全文

如何使用APIDetector高效识别目标域名暴露的Swagger节点

Swagger接口安全测试

某系统存在弱口令+未授权+命令执行+信息泄露漏洞

Swagger接口管理未授权导致任意用户登陆

SRC测试指南：从APl接口泄露到数据加解密的深入分析

针对Swagger的另类绕过

深入学习Java代码审计技巧—详细剖析某erp漏洞

详细剖析某erp漏洞

实战纪实 | 某医院系统swagger接口未授权 + Springboot信息泄露

实战纪实 | 医院系统swagger接口未授权 + Springboot信息泄露

Swagger UI渗透实战

JAVA常用组件未授权漏洞解析

在线咨询

微信