研究人员发现 Swagger 相关漏洞-阿里云开发者社区

开发者社区> 晚来风急> 正文

研究人员发现 Swagger 相关漏洞

简介:
+关注继续查看

image
网络安全机构Rapid7发现了一个有关Swagger驱动代码生成器的漏洞,该漏洞有可能让使用Node.js、PHP、Ruby和Java(也有可能包括其他语言)语言所开发的程序暴露在被黑客利用的危险之下。上周Charlie Osborne在ZDNet发表了一篇文章,文章讲述了这个漏洞。

当某个API被Swagger等API描述语言查看的时候,这个描述会被用来自动生成SDK,该SDK可以让开发人员更轻松的使用他们所选平台上相关的Web API。类似的是,这个API描述还会自动生成一个功能端点。理论上,这两者都有可能产生风险。这个漏洞不仅会在技术上影响到自动生成的API端点,还有可能导致两种结果:

黑客能够修改在API描述被用来生成端点之前对该描述进行篡改。

这个篡改有可能逃过API设计和开发人员的监测。

而在SDK端,情况则稍有不同,因为很多API的SDK都并非API提供者自己所提供的。SDK通常是第三方所开发的,尤其是在一些不那么流行的平台上。

Rapid7表示,研究人员在Swagger代码生成器(Swagger CodeGen)中找到了一个漏洞,该漏洞有可能会影响到文章开头所提到的那些语言,还有人担心其他一些语言也会受到影响。Swagger CodeGen接近于一个开源工具,许多第三方SDK生成产品提供商都在使用。Rapid7程序安全研究员Scott Davis表示,该漏洞允许攻击者远程执行代码,存在于 Swagger Code Generator 中,属于参数注入漏洞,允许攻击者在 Swagger JSON 文件中嵌入代码,使用 Java、PHP、NodeJS 和 Ruby 等语言开发的 Web 应用如果整合了 Swagger API 会受到影响。

简单说,这个漏洞的危险性在于,黑客可以在基于Swagger的API定义中植入恶意的可注入参数,从而导致自动生成的SDK也携带这些参数。之后,所有由这些SDK所开发的程序也会受到影响,API提供方和终端用户也有可能受到影响。例如,Rapid7发现这种基于Swagger的定义可以在Node.js、PHP、Ruby和Java环境中被远程操控。没有什么可以组织第三方使用基于Swagger的工具来对公共API进行描述,以及根据这些描述来自动生成多个SDK。开发人员要做的是,谨慎对待每一个SDK,在使用任何一个在网络上下载的SDK之前,都要怀疑它有可能存在恶意注入参数。

另外,API提供商也需要保护自己的端点和基础系统不受一些常见的威胁的影响,例如代码注入。他们需要保护自己的API描述,以及相关的资产不会被篡改。

今年4月Rapid7最早将这个问题报告给了Swagger的供应商和API团队。6月16日CERT获得了补丁;23日,一个Metasploit模式被放出。目前Swagger建议开发人员使用OWASP ESAPI这个工具来净化代码以及缓和威胁。然而,OWASP ESAPI工具并不适用于所有语言。目前Swagger CodeGen的开发商已经放出了临时补救措施,但是这个措施只能解决一时的问题。

文章转载自 开源中国社区[http://www.oschina.net]

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10092 0
WordPress网站漏洞利用及漏洞修复解决方案
2019年正月刚开始,WordPress最新版本存在远程代码注入获取SHELL漏洞,该网站漏洞影响的版本是wordpress5.0.0,漏洞的产生是因为image模块导致的,因为代码里可以进行获取目录权限,以及文件包含功能,导致远程代码注入成功。
1847 0
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
8478 0
网站漏洞修复之图片验证码
在对网站安全进行整体的安全检测的时候,用户登陆以及用户留言,评论,设置支付密码,以及一些网站功能方面都会用到图片验证码,针对于验证码我们SINE安全对其进行了详细的网站安全检测,以及图片验证码安全防护方面,都会详细的跟大家讲解一下。
1550 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10886 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13893 0
+关注
9380
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载