# 在SpringBoot中通过配置Swagger权限解决Swagger未授权访问漏洞 ## 漏洞说明 Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。其中,Swagger-UI会根据开发人员在代码中的设置来自动生成API说明文档。若存在相关的配置缺陷,攻击者可以在未授权的状态下,翻查Swagger接口文档,得到系统功能API接口的详细参数,再构造参数发包,通过回显获取系统大量的敏感信息。 在一个项目的实施过程中,客户通过安全检测发现了系统中swagger未进行授权导致调取到了项目上全部的api接口,并在接口中找到了默认的超级用户和密码,并通过修改超级用户密码成功登录到业务系统。从影响范围来看,属于高危漏洞。 ## 漏洞解决方法 ### 方法一:通过application.yml配置,开启页面访问限制。 如果系统用spingboot作为框架,可以通过application.yml配置Swagger,开启页面访问限制。以下为配置的代码。 ```bash swagger: production: false basic: enable: true username: swaggerAuthorizedAdminUser #替换成生产环境的实际用户名 password: adfaeYUps&@sdf_23134 #替换成生产环境的实际用户名 ``` ### 方法二:通过SwaggerConfig类配置,开启可访问环境限制 ```java @Configuration @EnableSwagger2 @Profile({"dev"}) public class SwaggerConfig implements WebMvcConfigurer { # 此处省略不涉及漏洞修复的代码 } ``` 以上2个方法选择其一,修改完成后,重启业务系统。 ## 漏洞预防 排查接口是否存在账号和密码等敏感信息泄露。排查方法推荐以下文章。 链接: [Swagger未授权访问漏洞](https://cloud.tencent.com/developer/article/2160217) ## 快照 - https://b.bdstatic.com/comment/-ZsE5conygPrGnTb2cfDFw11cb1b1c468ec5baaca320223d643c22.png - https://i3.wp.com/b.bdstatic.com/comment/-ZsE5conygPrGnTb2cfDFw11cb1b1c468ec5baaca320223d643c22.png - https://788910.xyz/api/snapshot?p=f65b947812e1a25a6651c415ba88c86b&u=https://b.bdstatic.com/comment/-ZsE5conygPrGnTb2cfDFw11cb1b1c468ec5baaca320223d643c22.png
