在SpringBoot中通过配置Swagger权限解决Swagger未授权访问漏洞

• 漏洞说明
• 漏洞解决方法
• • 方法一：通过application.yml配置，开启页面访问限制。
  • 方法二：通过SwaggerConfig类配置，开启可访问环境限制
  • 漏洞预防

    漏洞说明

    Swagger是一个规范和完整的框架，用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。其中，Swagger-UI会根据开发人员在代码中的设置来自动生成API说明文档。若存在相关的配置缺陷，攻击者可以在未授权的状态下，翻查Swagger接口文档，得到系统功能API接口的详细参数，再构造参数发包，通过回显获取系统大量的敏感信息。

    在一个项目的实施过程中，客户通过安全检测发现了系统中swagger未进行授权导致调取到了项目上全部的api接口，并在接口中找到了默认的超级用户和密码，并通过修改超级用户密码成功登录到业务系统。从影响范围来看，属于高危漏洞。

    漏洞解决方法

    方法一：通过application.yml配置，开启页面访问限制。

    如果系统用spingboot作为框架，可以通过application.yml配置Swagger，开启页面访问限制。以下为配置的代码。

    swagger:
      production: false
      basic:
        enable: true
        username: swaggerAuthorizedAdminUser   #替换成生产环境的实际用户名
        password: adfaeYUps&@sdf_23134         #替换成生产环境的实际用户名
    

    方法二：通过SwaggerConfig类配置，开启可访问环境限制

    @Configuration
    @EnableSwagger2
    @Profile({"dev"})
    public class SwaggerConfig implements WebMvcConfigurer {
    	# 此处省略不涉及漏洞修复的代码
    }
    

    以上2个方法选择其一，修改完成后，重启业务系统。

    漏洞预防

    排查接口是否存在账号和密码等敏感信息泄露。排查方法推荐以下文章。

    链接: Swagger未授权访问漏洞