關(guān)于SwaggerSpy

SwaggerSpy是一款針對(duì)SwaggerHub的自動(dòng)化公開資源情報(bào)（OSINT）安全工具，該工具專為網(wǎng)絡(luò)安全研究人員設(shè)計(jì)，旨在簡化廣大紅隊(duì)研究人員從SwaggerHub上收集已歸檔API信息的過程，而這些OSINT信息可以為安全人員、開發(fā)人員和IT專業(yè)人員提供一些有價(jià)值的安全分析數(shù)據(jù)或獨(dú)到見解。

Swagger是什么？

Swagger是一個(gè)強(qiáng)大的開源框架，允許開發(fā)人員設(shè)計(jì)、構(gòu)建、記錄和使用RESTful web服務(wù)。它提供了一種使用JSON或YAML格式描述RESTAPI的標(biāo)準(zhǔn)方法，從而簡化了API的開發(fā)。Swagger使開發(fā)人員能夠?yàn)槠銩PI創(chuàng)建交互式文檔，從而使開發(fā)人員和非開發(fā)人員更容易理解和使用API。

SwaggerHub介紹

而SwaggerHub則是一個(gè)使用Swagger框架設(shè)計(jì)、構(gòu)建和管理API的協(xié)作平臺(tái)。它為API文檔、版本控制和團(tuán)隊(duì)成員之間的協(xié)作提供了一個(gè)集中的存儲(chǔ)庫。SwaggerHub通過為API設(shè)計(jì)和測(cè)試提供統(tǒng)一的平臺(tái)，簡化了API開發(fā)生命周期。

為什么需要對(duì)SwaggerHub執(zhí)行OSINT任務(wù)？

對(duì)SwaggerHub執(zhí)行OSINT任務(wù)是至關(guān)重要的，因?yàn)殚_發(fā)人員在追求高效的API文檔和共享時(shí)，可能會(huì)無意中暴露敏感信息。關(guān)鍵原因包括以下幾點(diǎn)：

1、開發(fā)人員的疏忽：開發(fā)人員可能會(huì)無意中在SwaggerHub的API文檔中存儲(chǔ)了憑據(jù)或敏感信息。如果不及時(shí)發(fā)現(xiàn)和解決這些疏漏，可能會(huì)導(dǎo)致安全漏洞和未經(jīng)授權(quán)的訪問出現(xiàn)。

2、安全最佳實(shí)踐：在SwaggerHub上執(zhí)行OSINT任務(wù)有助于實(shí)施安全最佳實(shí)踐。在開發(fā)生命周期的早期識(shí)別和修復(fù)潛在的安全問題，對(duì)于確保API的機(jī)密性和完整性至關(guān)重要。

3、防止數(shù)據(jù)泄露：通過系統(tǒng)地掃描SwaggerHub以查找敏感信息，組織可以主動(dòng)防止數(shù)據(jù)泄露事件的發(fā)生。在當(dāng)今互聯(lián)的數(shù)字環(huán)境中，API在服務(wù)之間的數(shù)據(jù)交換中發(fā)揮著至關(guān)重要的作用，因此這一點(diǎn)尤為重要。

4、風(fēng)險(xiǎn)緩解：開發(fā)人員可能會(huì)忘記刪除或混淆API文檔中的敏感細(xì)節(jié)，強(qiáng)調(diào)了SwaggerHub上持續(xù)執(zhí)行OSINT任務(wù)的重要性，這種主動(dòng)的方式能夠降低關(guān)鍵信息無意泄露的風(fēng)險(xiǎn)。

5、合規(guī)性和隱私保護(hù)：許多行業(yè)在保護(hù)敏感數(shù)據(jù)方面都有嚴(yán)格的合規(guī)要求。SwaggerHub上的OSINT能夠確保API遵守這些法規(guī)，促進(jìn)合規(guī)性并保護(hù)用戶隱私。

6、教育機(jī)會(huì)：識(shí)別SwaggerHub文檔中的疏漏可以讓開發(fā)人員吸取經(jīng)驗(yàn)教訓(xùn)，能夠鼓勵(lì)和建立有安全意識(shí)的心態(tài)，培養(yǎng)安全意識(shí)和負(fù)責(zé)任的信息處理方式。

對(duì)SwaggerHub執(zhí)行OSINT任務(wù)已經(jīng)成為了很多組織整體安全戰(zhàn)略的一個(gè)重要組成部分，并且能夠有效地防范潛在威脅，促進(jìn)API生態(tài)系統(tǒng)安全發(fā)展。

工具要求

requests

colorama

工具下載

由于該工具基于Python 3開發(fā)，因此我們首先需要在本地設(shè)備上安裝并配置好最新版本的Python 3環(huán)境。

接下來，廣大研究人員可以直接使用下列命令將該項(xiàng)目源碼克隆至本地：

git clone https://github.com/UndeadSec/SwaggerSpy.git

然后切換到項(xiàng)目目錄中，使用pip命令和項(xiàng)目提供的requirements.txt文件安裝該工具所需的其他依賴組件：

cd SwaggerSpypip install -r requirements.txt

工具運(yùn)行

該工具的使用非常簡單，只需要使用目標(biāo)搜索關(guān)鍵詞（使用域名會(huì)更加準(zhǔn)確）即可執(zhí)行掃描任務(wù)：

python swaggerspy.py searchterm

運(yùn)行之后，SwaggerSpy會(huì)生成一份掃描報(bào)告，其中將包含發(fā)現(xiàn)的OSINT信息，例如與API、節(jié)點(diǎn)和敏感信息相關(guān)的數(shù)據(jù)。

工具運(yùn)行截圖

許可證協(xié)議

本項(xiàng)目的開發(fā)與發(fā)布遵循MIT開源許可協(xié)議。

項(xiàng)目地址

SwaggerSpy：【GitHub傳送門】