Swagger API 未授权访问漏洞【原理扫描】

Blade 未结 1 551
Ayoung
Ayoung 剑者 2024-01-22 14:55

一、该问题的重现步骤是什么?

1. Swagger API 未授权访问漏洞【原理扫描】

2.该问题源于公司安全团队的扫描

3. 项目是Bladex-Boot框架


二、你期待的结果是什么?实际看到的又是什么?

Bladex-Boot框架如何关闭线上的Swagger文档功能,或者如何解决此漏洞,关于该漏洞的描述已上传截图,辛苦解答一下。


三、你正在使用的是什么产品,什么版本?在什么操作系统上?

使用Bladex-Boot框架3.4.0.RELEASE版本。

四、请提供详细的错误堆栈信息,这很重要。

36ea365c61ad12862cb14c0f7beae8b.png

五、若有更多详细信息,请在下面提供。

1条回答
  • 2024-01-22 14:58

    java -jar app.jar --spring.profiles.active=prod

    生产模式会自动关闭

    作者追问:2024-01-22 15:02

    目前在测试服务器部署,测试服务器目前也会做漏洞扫描,能否从代码层面截图告知一下如何关闭Swagger。

    回答: 2024-01-22 15:04

    生产模式自动关闭的逻辑代码看bladex-tool的blade-starter-swagger

    作者追问:2024-01-22 15:08

    image.png

    作者追问:2024-01-22 15:31

    image.png

    0 讨论(0)
提交回复