swagger

目录

• 渗透
  • 只有api-docs
• 批量测试
  • 扫描
  • 测试站点只支持https协议，但是使用浏览器进行接口调用时使用http协议

渗透

只有api-docs

https://chrome.google.com/webstore/detail/swagger-ui/liacakmdhalagfjlfdofigfoiocghoej

使用该插件解析文档并生成测试界面

批量测试

https://github.com/jayus0821/swagger-hack

https://github.com/lijiejie/swagger-exp

扫描

onescan burp插件 github（自己加路径，然后给爬虫扫描）

测试站点只支持https协议，但是使用浏览器进行接口调用时使用http协议

https://github.com/lijiejie/swagger-exp

这种情况推荐使用swagger-exp 将泄露的json格式内容复制到工具同目录下的api-docs.json中，在basepath后添加以下内容

"schemes": ["https", "http"],

然后执行Python swagger-exp.py

• 在本地监听一个Web Server，打开Swagger UI界面，供分析接口使用