API声明文件Swagger Injection攻击

news2024/11/15 8:38:44

Swagger

在API化的世界里，相信无论是前端还是后端开发，都或多或少地被接口维护折磨过。随着API迭代，老旧API文档和SDK需要更新，这是一个耗散研发精力的事情。为解决此类问题，以API为软件能力最终交付物的生态不断演进，最终形成了工具+流程的一套解决方案。通过这套方案，研发人员只需要按照既定的规范去定义接口，再通过Swagger衍生出来的一系列项目和工具，就可以做到生成各种格式的接口文档，生成多种语言的客户端和服务端的代码，以及在线接口调试页面等等。

在传统service交付模式中，上游供应商提供SDK，开发者下载SDK并植入自己的项目代码中，以调用上游service的能力，在以API为最终交付物的软件生态中，上游仅维护API的正常功能并通过API声明文件的方式对外暴露API的接入方式，下游企业通过这份API格式声明自动化生成多语言的SDK进行集成，这一过程通过自动化的手段大大提高了应用间集成的效率。

##Swagger Injection

swagger API声明文件包含了API的接入方式、参数定义及格式。样例：

前文中提到，上游供应商交付这份API声明文件之后，下游企业自动化解析该声明生成SDK的过程会出现代码注入问题，经过笔者的一些测试，通过向swagger
json中注入payload，可以成功污染SDK的代码，并在API client运行时触发RCE，具体流程如下：

##Swagger-codegen代码注入

在上述API交付流程中，下游企业通过swagger自动化生成代码的工具项目很多，其中以官方swagger-codegen为代表被广泛集成于各种api-
automation流程中。

构造恶意swagger
definition

生成SDK中携带恶意代码

##Restler-fuzzer代码注入

restler-fuzzer是MS开源的一款在CI过程中API自动化测试工具，该工具在compile阶段解析swagger声明生成python
request SDK，然后在test/fuzz阶段通过python内置类控制request的参数和结构变化，从而达到黑盒测试bug和安全漏洞的目标。

在swagger解析过程中通过构造特定参数向中间态python文件中植入代码。

针对fuzzer的online
service，可以通过提交特定swagger直接RCE。

##总结

提供一种以swagger为输入点的攻击思路，API开发者生态中的swagger to
code阶段主流工具存在代码注入风险，开发者应将API声明文件视作不可信输入源对待，并在自动化代码生成环节添加相应的安全管控手段。

发者应将API声明文件视作不可信输入源对待，并在自动化代码生成环节添加相应的安全管控手段。

最后

分享一个快速学习【网络安全】的方法，「也许是」最全面的学习方法：
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

在这里插入图片描述