swagger
目录
渗透
只有api-docs
https://chrome.google.com/webstore/detail/swagger-ui/liacakmdhalagfjlfdofigfoiocghoej
使用该插件解析文档并生成测试界面
批量测试
https://github.com/jayus0821/swagger-hack
https://github.com/lijiejie/swagger-exp
扫描
onescan burp插件 github(自己加路径,然后给爬虫扫描)
测试站点只支持https协议,但是使用浏览器进行接口调用时使用http协议
https://github.com/lijiejie/swagger-exp
这种情况推荐使用swagger-exp 将泄露的json格式内容复制到工具同目录下的api-docs.json中,在basepath后添加以下内容
"schemes": ["https", "http"],
然后执行Python swagger-exp.py
- 在本地监听一个Web Server,打开Swagger UI界面,供分析接口使用