研究人员发现 Swagger 相关漏洞

0顶
0踩

2016-07-08 14:25 by 副主编 mengyidan1988 评论(0) 有7044人浏览

Swagger ruby

网络安全机构Rapid7发现了一个有关Swagger驱动代码生成器的漏洞，该漏洞有可能让使用Node.js、PHP、Ruby和Java（也有可能包括其他语言）语言所开发的程序暴露在被黑客利用的危险之下。上周Charlie Osborne在ZDNet发表了一篇文章，文章讲述了这个漏洞。

当某个API被Swagger等API描述语言查看的时候，这个描述会被用来自动生成SDK，该SDK可以让开发人员更轻松的使用他们所选平台上相关的Web API。类似的是，这个API描述还会自动生成一个功能端点。理论上，这两者都有可能产生风险。这个漏洞不仅会在技术上影响到自动生成的API端点，还有可能导致两种结果：

黑客能够修改在API描述被用来生成端点之前对该描述进行篡改。
这个篡改有可能逃过API设计和开发人员的监测。

而在SDK端，情况则稍有不同，因为很多API的SDK都并非API提供者自己所提供的。SDK通常是第三方所开发的，尤其是在一些不那么流行的平台上。

Rapid7表示，研究人员在Swagger代码生成器（Swagger CodeGen）中找到了一个漏洞，该漏洞有可能会影响到文章开头所提到的那些语言，还有人担心其他一些语言也会受到影响。Swagger CodeGen接近于一个开源工具，许多第三方SDK生成产品提供商都在使用。Rapid7程序安全研究员Scott Davis表示，该漏洞允许攻击者远程执行代码，存在于 Swagger Code Generator 中，属于参数注入漏洞，允许攻击者在 Swagger JSON 文件中嵌入代码，使用 Java、PHP、NodeJS 和 Ruby 等语言开发的 Web 应用如果整合了 Swagger API 会受到影响。

简单说，这个漏洞的危险性在于，黑客可以在基于Swagger的API定义中植入恶意的可注入参数，从而导致自动生成的SDK也携带这些参数。之后，所有由这些SDK所开发的程序也会受到影响，API提供方和终端用户也有可能受到影响。例如，Rapid7发现这种基于Swagger的定义可以在Node.js、PHP、Ruby和Java环境中被远程操控。没有什么可以组织第三方使用基于Swagger的工具来对公共API进行描述，以及根据这些描述来自动生成多个SDK。开发人员要做的是，谨慎对待每一个SDK，在使用任何一个在网络上下载的SDK之前，都要怀疑它有可能存在恶意注入参数。

另外，API提供商也需要保护自己的端点和基础系统不受一些常见的威胁的影响，例如代码注入。他们需要保护自己的API描述，以及相关的资产不会被篡改。

今年4月Rapid7最早将这个问题报告给了Swagger的供应商和API团队。6月16日CERT获得了补丁；23日，一个Metasploit模式被放出。目前Swagger建议开发人员使用OWASP ESAPI这个工具来净化代码以及缓和威胁。然而，OWASP ESAPI工具并不适用于所有语言。目前Swagger CodeGen的开发商已经放出了临时补救措施，但是这个措施只能解决一时的问题。

原文：Researchers Identify Security Vulnerability Involving Swagger
出处：sdk.cn

查看图片附件

分享到：

0
顶

0
踩

评论共 0 条请登录后发表评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Swagger 高危漏洞影响 Java、PHP 和 Ruby等语言

广泛使用的Swagger规格（今年初重命名为OpenAPI）发现了高危漏洞，潜在影响到了Java、PHP、NodeJS和 Ruby等流行语言开发的应用。该漏洞允许攻击者远程执行代码，存在于Swagger Code Generator中，属于参数注入漏洞...

如何防范SpringBoot 相关漏洞？

Spring Boot可能是习惯于用Java的小伙伴们用的最多的一种应用框架，但是各位程序猿小伙伴知不知道Spring Boot有哪些平时不容易注意到的漏洞需要避免呢？小编今天就给大家介绍...

Swagger被曝高危漏洞，对Html、PHP、Java和 Ruby等开发应用都有影响

Swagger是一个规范且完整的框架，提供...Swagger规格被广泛的使用在Html、PHP、Java和 Ruby等流行语言开发的应用中，其最近被曝出远程代码执行漏洞，潜在影响到了Java、PHP、NodeJS和 Ruby等流行语言开发的应用。 ...

Java相关框架漏洞

文章目录 Fastjson Fastjson简介历史漏洞 FastJson 漏洞发现 Json认识 FastJson寻找 FastJson报错识别 FastJson漏洞发现漏洞利用 FastJson1.2.47反序列化漏洞漏洞概述影响版本漏洞环境漏洞检测 JNDI注入 + RMI...

未授权访问漏洞大全

SpringBoot漏洞

spring漏洞

最佳实践：解决 Swagger API 中的未授权访问漏洞

投的前端开发，base杭州，10.27上午人工第一面...市场上有很多大厂，虽然打着同一杆大旗，但里面的业务五花八门，人员的福利体系也千差万别，拿到同一个大厂的offer，签约公司却很可能不一样，比如，腾讯、华为、阿里。

SpringBoot漏洞大全

SpringBoot漏洞复现

SpringBoot基本上是Spring框架的扩展。Actuator是Springboot提供的用来对...在Actuator启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息。......

【burpsuite安全练兵场-服务端6】信息泄露漏洞-5个实验（全）

【BP靶场portswigger-服务端6-信息泄露漏洞】5个实验-万文详细步骤

OpenSSH命令注入漏洞复现(CVE-2020-15778)

2020年6月9日，研究人员Chinmay Pandya在Openssh中发现了一个漏洞，于7月18日公开。OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令，攻击者可利用该漏洞执行任意命令。目前绝大多数linux系统受影响。 ...

API漏洞检测研究

用于API漏洞检测的工具

Java代码审计漏洞挖掘（入门）

6.4.3 小结 6.5 Web后门 6.5.1 简介 6.5.2 Java Web 后门案例讲解 6.5.3 小结 6.6 逻辑漏洞 6.6.1 简介 6.6.2 漏洞发现与修复案例 6.6.3 小结 6.7 前端配置不当 6.7.1 简介 6.7.2 漏洞发现与修复案例 6.7.3 小结 6.8...

知识蒸馏-基于Tensorflow实现的无数据知识蒸馏-附项目源码+流程教程-优质项目分享.zip

知识蒸馏_基于Tensorflow实现的无数据知识蒸馏_附项目源码+流程教程_优质项目分享

基于人工智能模型U-net神经网络医学图像分割

这个完整工程给出基于人工智能模型U-net神经网络医学图像分割功能实现，适合基于机器学习和深度学习模型分析的学习资料，并有详细程序说明书。

知识领域: 数据库管理技术关键词: SQLAlchemy、数据库、ORM、SQL 内容关键词: 数据库连接、数据查询、数据操作

知识领域: 数据库管理技术关键词: SQLAlchemy、数据库、ORM、SQL 内容关键词: 数据库连接、数据查询、数据操作用途: 学习使用Python管理和操作数据库资源描述: SQLAlchemy官方文档提供了详细的SQLAlchemy ORM介绍、文档和示例代码，适合数据库管理和开发人员使用。

Golang(Gin框架)+websocket 实现的多人聊天室+代码+详细文档

武汉大学弘毅学堂数据库系统实现课程实验.zip

JSP基于网络超市商品销售管理系统的设计与实现(源代码+lw).zip

随着互联网日益深入我们的生活，网上商品销售的方式也逐渐被人们所接受，因而集成销售管理功能的网上销售系统也显得更加重要而实用。鉴于此，本课题设计了基于网络超市的商品销售管理系统。首先，论文简单介绍了商品销售管理系统的产生、发展和现状；然后对本系统使用的几项关键技术做了介绍；最后用软件工程的分析方法从系统需求分析、系统设计、数据库设计、系统实现等几个方面对整个系统进行了阐述。同时对系统的功能，包括商品目录显示、用户注册、用户登录、购物车、定单查询、系统维护管理等功能模块进行了实现。本系统主要运用了HTML、JSP编程技术与SQL Server数据库等关键技术进行设计、实现。设计中使用页面模块化思想，并部分采用三层架构思想，使用JavaBean 完成对数据库的操作，对销售管理、系统维护部分使用Servlet技术实现。当然系统还存在许多不足之处有待改进，特别是安全方面的问题还没有很好的考虑和实现。

0顶0踩