Swagger
Swagger 是一个开源工具集,提供了一整套工具,帮助开发者设计、文档化、测试和生成 RESTful API。
**Swagger **的主要作用
- **API **描述:Swagger 使用 OpenAPI 规范来描述 API 的结构,包括端点、HTTP 方法、请求参数、响应格式、身份验证等。
- 自动化文档生成:Swagger 能够自动生成详细的 API 文档,这些文档通常是交互式的,方便开发者和用户查看和测试 API。
- 代码生成:通过 Swagger,可以自动生成客户端 SDK 和服务器端代码,减少手动编写的工作量,并确保代码和文档的一致性。
- **API **测试和调试:使用 Swagger UI,开发者可以直接在浏览器中测试 API,发送请求并查看响应,极大地简化了调试过程。
师傅笔记:
(1):
/v1/api-docs
/v2/api-docs
/v3/api-docs
Swagger 接口文档(开发工具)
https://api.topsnap.cn/swagger/index.html
https://imes.ljerp.net:80/index.html
https://ncpsy.ynufe.net/swagger/index.html
(2):
http://119.3.9.51:8084/swagger/ui/index
http://101.132.24.13:8000/swagger/ui/index
/api/getlistinfo/1
result:id:2131232
2131232
个人笔记:
案例一:
工具:swagger-hack:自动化爬取并自动测试所有swagger接口
本机:tools/swagger
测试站点:
存在未授权** **敏感信息泄露等
以上漏洞提交至漏洞盒子(低危)
案例二:
遇见输入空格就尝试sql注入
挨个观察接口,看是否有有用信息、敏感信息泄露
案例三:
站点:https://ttqp.oldace.cn/swagger/V2/swagger.json
https://ttqp.oldace.cn/index.html
Swagger-hack工具扫描
扫除站点:https://ttqp.oldace.cn/api/SCConfigs/GetSysUtils/?type=12
案例四:
网址:http://181.119.123.109:5000/info/index.html
无果
Swagger
https://jimi-lab.github.io/2024/06/01/Swagger/