工具推荐|SwaggerHound自动化检测SwaggerAPI接口未授权访问漏洞

admin
admin
admin
0
文章
0
评论
2026-01-29 10:40:04 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档介绍了SwaggerHound工具,用于自动化检测SwaggerAPI接口未授权访问漏洞。该工具支持批量资产处理,适配多种API文档版本,能自动爬取并填充参数进行测试,解决了通用性差与参数处理等痛点。文末附带团队付费圈子推广及免杀工具列表。 综合评分: 60 文章分类: 安全工具,WEB安全,漏洞分析,软文广告

cover_image

工具推荐 | SwaggerHound自动化检测 Swagger API 接口未授权访问漏洞

evilc0deooo evilc0deooo

星落安全团队

2026年1月29日 00:01 黑龙江

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队设为星标”,否则可能就看不到了啦!

【声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!

工具介绍

针对大量 Swagger 目标并爬取所有接口并测试未授权漏洞, 通过阅读目前已公开相关项目代码发现一些痛点, 所以在前辈们项目基础上自己搓了一个。

主要痛点

  1. 不适用于在大量 Swagger 资产场景下。
  2. 对于 Swagger API 文档参考不多且通用性差, 请求的参数格式细节也未作处理。
  3. 代码不完整且存在 BUG, 作者也不在维护。

主要功能

  • 支持单个目标和批量目标。
  • 适配目标链接为 /swagger-resources 和 /api/docs 和 swagger html
  • 适配多个版本 Swagger API 文档。
  • 自动爬取所有 API 链接, 对 GET 和 POST 进行请求 (危险请求方法进行跳过)。
  • 根据文档数据请求类型和参数类型填充默认值。
  • 支持爬取自定义的模型或对象并填充给参数。
  • 支持控制台显示, 生成日志文件, 导出扫描结果。

使用方法

python3 swagger-hound.py -u https://xxxx.ztna.xxxxx.com/api/swagger-ui.htmlpython3 swagger-hound.py -u https://xxxx.ztna.xxxxx.com/api/v2/docspython3 swagger-hound.py -u https://xxxx.ztna.xxxxx.com/api/swagger-resourcespython3 swagger-hound.py -f url.txt

相关地址

关注微信公众号后台回复“入群”,即可进入星落安全交流群!

关注微信公众号后台回复“20260129”,即可获取项目下载地址!

圈子介绍

博主介绍:

目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。

目前已经更新的免杀内容:

  • 部分免杀项目源代码

  • 星落安全内部免杀工具箱1.0

  • CobaltStrike4.9.1星落专版1.9

  • 一键击溃windows defender

  • 一键击溃火绒进程

  • CobaltStrike免杀加载器

  • 数据库直连工具免杀版

  • aspx文件自动上线cobaltbrike

  • jsp文件自动上线cobaltbrike

  • 哥斯拉免杀工具 XlByPassGodzilla

  • 冰蝎免杀工具 XlByPassBehinder

  • 冰蝎星落专版 xlbehinder

  • 正向代理工具 xleoreg

  • 反向代理工具xlfrc

  • 内网扫描工具 xlscan

  • Todesk/向日葵密码读取工具

  • 导出lsass内存工具 xlrls

  • 绕过WAF免杀工具 ByPassWAF

  • 等等…

目前星球已满1000人,价格由208元调整为218元(交个朋友啦),1100名以后涨价至268元。

往期推荐

1.加量不加价 | 星落免杀第二期,助你打造专属免杀武器库

2.【干货】你不得不学习的内网渗透手法

3.新增全新Web UI版本,操作与管理全面升级 | GoCobalt Strike 2.0正式发布!

4.【免杀】原来SQL注入也可以绕过杀软执行shellcode上线CoblatStrike

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:星落安全团队 evilc0deooo evilc0deooo《工具推荐 | SwaggerHound自动化检测 Swagger API 接口未授权访问漏洞》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
欧美网络安全合规 网络安全文章

欧美网络安全合规

文章总结: 本文解析欧美网络安全合规的重要性,指出不合规将导致巨额罚款。文中列举CISA、NIST等机构及GDPR、HIPAA等核心法规,并按地域与行业提出九步
01-290 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0