发表新帖
发表新帖

Swagger API 未授权访问漏洞【原理扫描】

Blade 未结
关注 举报
1 532
Ayoung
Ayoung 剑者 2024-01-22 14:55

一、该问题的重现步骤是什么?

1. Swagger API 未授权访问漏洞【原理扫描】

2.该问题源于公司安全团队的扫描

3. 项目是Bladex-Boot框架


二、你期待的结果是什么?实际看到的又是什么?

Bladex-Boot框架如何关闭线上的Swagger文档功能,或者如何解决此漏洞,关于该漏洞的描述已上传截图,辛苦解答一下。


三、你正在使用的是什么产品,什么版本?在什么操作系统上?

使用Bladex-Boot框架3.4.0.RELEASE版本。

四、请提供详细的错误堆栈信息,这很重要。

36ea365c61ad12862cb14c0f7beae8b.png

五、若有更多详细信息,请在下面提供。

1条回答
  • admin - BladeX作者
    2024-01-22 14:58

    java -jar app.jar --spring.profiles.active=prod

    生产模式会自动关闭

    作者追问:2024-01-22 15:02

    目前在测试服务器部署,测试服务器目前也会做漏洞扫描,能否从代码层面截图告知一下如何关闭Swagger。

    回答: 2024-01-22 15:04

    生产模式自动关闭的逻辑代码看bladex-tool的blade-starter-swagger

    作者追问:2024-01-22 15:08

    image.png

    作者追问:2024-01-22 15:31

    image.png

    0 讨论(0)
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
热议问题
BaseService报错 1
Rider 改了请求地址为啥没用,登录的时候还是请求localhost 1
@saber包 使用yarn下载为什么会超时 1
powerjob官方demo可以出发定时任务,bladex不可以 2
3年前版本今天启动后报错 1
配置动态数据源导致租户模式失效 2
加大菜单默认宽度 1
物联网平台中yml文件中指定了spring.application.name为blade-server,但是启动后服务名是blade-iot 1
物联网平台升级成cloud版本出现跨域问题 1
Bladex使用rabbitmq用户自己变成guest账号 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2024 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号