SwaggerSpy:一款针对SwaggerHub的自动化OSINT安全工具

关于SwaggerSpy

SwaggerSpy是一款针对SwaggerHub的自动化公开资源情报(OSINT)安全工具,该工具专为网络安全研究人员设计,旨在简化广大红队研究人员从SwaggerHub上收集已归档API信息的过程,而这些OSINT信息可以为安全人员、开发人员和IT专业人员提供一些有价值的安全分析数据或独到见解。

Swagger是什么?

Swagger是一个强大的开源框架,允许开发人员设计、构建、记录和使用RESTful web服务。它提供了一种使用JSON或YAML格式描述RESTAPI的标准方法,从而简化了API的开发。Swagger使开发人员能够为其API创建交互式文档,从而使开发人员和非开发人员更容易理解和使用API。

SwaggerHub介绍

而SwaggerHub则是一个使用Swagger框架设计、构建和管理API的协作平台。它为API文档、版本控制和团队成员之间的协作提供了一个集中的存储库。SwaggerHub通过为API设计和测试提供统一的平台,简化了API开发生命周期。

为什么需要对SwaggerHub执行OSINT任务?

对SwaggerHub执行OSINT任务是至关重要的,因为开发人员在追求高效的API文档和共享时,可能会无意中暴露敏感信息。关键原因包括以下几点:

1、开发人员的疏忽:开发人员可能会无意中在SwaggerHub的API文档中存储了凭据或敏感信息。如果不及时发现和解决这些疏漏,可能会导致安全漏洞和未经授权的访问出现。

2、安全最佳实践:在SwaggerHub上执行OSINT任务有助于实施安全最佳实践。在开发生命周期的早期识别和修复潜在的安全问题,对于确保API的机密性和完整性至关重要。

3、防止数据泄露:通过系统地扫描SwaggerHub以查找敏感信息,组织可以主动防止数据泄露事件的发生。在当今互联的数字环境中,API在服务之间的数据交换中发挥着至关重要的作用,因此这一点尤为重要。

4、风险缓解:开发人员可能会忘记删除或混淆API文档中的敏感细节,强调了SwaggerHub上持续执行OSINT任务的重要性,这种主动的方式能够降低关键信息无意泄露的风险。

5、合规性和隐私保护:许多行业在保护敏感数据方面都有严格的合规要求。SwaggerHub上的OSINT能够确保API遵守这些法规,促进合规性并保护用户隐私。

6、教育机会:识别SwaggerHub文档中的疏漏可以让开发人员吸取经验教训,能够鼓励和建立有安全意识的心态,培养安全意识和负责任的信息处理方式。

对SwaggerHub执行OSINT任务已经成为了很多组织整体安全战略的一个重要组成部分,并且能够有效地防范潜在威胁,促进API生态系统安全发展。

工具要求

requests

colorama

工具下载

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/UndeadSec/SwaggerSpy.git

然后切换到项目目录中,使用pip命令和项目提供的requirements.txt文件安装该工具所需的其他依赖组件:

cd SwaggerSpy

pip install -r requirements.txt

工具运行

该工具的使用非常简单,只需要使用目标搜索关键词(使用域名会更加准确)即可执行扫描任务:

python swaggerspy.py searchterm

运行之后,SwaggerSpy会生成一份扫描报告,其中将包含发现的OSINT信息,例如与API、节点和敏感信息相关的数据。

工具运行截图

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

SwaggerSpy:【GitHub传送门】

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/704333.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

HTML静态网页成品作业(HTML+CSS)—— 非遗皮影戏介绍网页(6个页面)

🎉不定期分享源码,关注不丢失哦 文章目录 一、作品介绍二、作品演示三、代码目录四、网站代码HTML部分代码 五、源码获取 一、作品介绍 🏷️本套采用HTMLCSS,未使用Javacsript代码,共有6个页面。 二、作品演示 三、代…

Duplicate keys detected: ‘tab-角色‘. This may cause an update error

项目场景: 使用el-tab和v-for循环渲染标签 问题描述 报错: Duplicate keys detected: ‘tab-角色’. This may cause an update error 原因分析: 看资料说是因为循环遍历的key值重复,但还是我的代码里key是唯一的,绑…

Vue2后台管理:项目开发全流程(二)

​🌈个人主页:前端青山 🔥系列专栏:vue篇 🔖人终将被年少不可得之物困其一生 依旧青山,本期给大家带来vue篇专栏内容:Vue2后台管理:项目开发全流程(二) 目录 功能实现 8、会员用户管理 ①使用数据模拟文…

HCIA 10 网络安全之结合ACL访问控制列表登录Telnet及FTP

ACL 本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用 ACL 的业务模块的处理策略来允许或阻止该报文通过。 1.实验介绍及拓扑 R3 为telnet服务器,R1 为客户端&#…

目标检测中的anchor机制

目录 一、目标检测中的anchor机制 1.什么是anchor boxes? 二、什么是Anchor? ​编辑三、为什么需要anchor boxes? 四、anchor boxes是怎么生成的? 五、高宽比(aspect ratio)的确定 六、尺度(scale)的…

Druid 参数配置详解

简介 Java 程序很大一部分要操作数据库,为了提高性能操作数据库的时候,又不得不使用数据库连接池。 Druid 是阿里巴巴开源平台上一个数据库连接池实现,结合了 C3P0、DBCP 等 DB 池的优点,同时加入了日志监控。 Druid 可以很好的…

【设计模式】行为型设计模式之 迭代器模式

介绍 迭代器模式(Iterator Pattern) 是行为设计模式之一,它提供了一种访问集合对象(如列表、数组或其他集合结构)中元素的方式,而不需要暴露集合的内部结构。迭代器模式定义了一个迭代器接口,该…

大数据学习——安装hive

一. 安装准备 1. 打开虚拟机,启动配置了NameNode节点的虚拟机(一般和mysql在同一台虚拟机)并连接shell 二. 安装 1. 上传hive安装包 hive安装包 提取码:6666 切换到/opt/install_packages目录下 可以将之前解压的rpm文件删除…

Adaboost集成学习 | Matlab实现基于CNN-LSTM-Adaboost集成学习时间序列预测(股票价格预测)

目录 效果一览基本介绍模型设计程序设计参考资料 效果一览 基本介绍 Adaboost集成学习 | Matlab实现基于CNN-LSTM-Adaboost集成学习时间序列预测(股票价格预测) 模型设计 融合Adaboost的CNN-LSTM模型的时间序列预测,下面是一个基本的框架。 …

渗透测试工具NMAP

nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全…

linux安装jdk + docker+dockercompose+aliyunACR

下载安装包 链接:https://pan.baidu.com/s/1AyFvPA5qwy4IxfZoTQohrQ 提取码:6666 安装jdk jdk-8u411-linux-x64.tar.gz 链接:https://pan.baidu.com/s/1BZ7J4L5PY-9nuQyxBMDGTA 提取码:6666 1、解压jdk tar -xvf jdk-8u411-li…

HTML静态网页成品作业(HTML+CSS+JS)—— 美食企业曹氏鸭脖介绍网页(4个页面)

🎉不定期分享源码,关注不丢失哦 文章目录 一、作品介绍二、作品演示三、代码目录四、网站代码HTML部分代码 五、源码获取 一、作品介绍 🏷️本套采用HTMLCSS,使用Javacsript代码实现 图片轮播切换,共有4个页面。 二、…

SylixOS下UDP组播测试程序

SylixOS下UDP组播测试 测试效果截图如下: udp组播发送测试程序。 /********************************************************************************************************* ** ** 中国软件开源组织 ** ** …

即插即用!CVD:第一个生成具有相机控制的多视图一致视频方案!(斯坦福港中文)

论文链接:https://arxiv.org/abs/2405.17414 项目链接:https://collaborativevideodiffusion.github.io/ 最近对视频生成的研究取得了巨大进展,使得可以从文本提示或图像生成高质量的视频。在视频生成过程中添加控制是未来的重要目标&#x…

算法:模拟题目练习

目录 题目一:替换所有的问号 题目二:提莫攻击 题目三:N字形变换 题目四:外观数列 题目五:数青蛙 首先先解释一下模拟算法是什么,其实模拟算法就是题目让我们干什么我们就干什么,思路比较简…

【数据库设计】宠物商店管理系统

目录 🌊1 问题的提出 🌊2 需求分析 🌍2.1 系统目的 🌍2.2 用户需求 🌻2.2.1 我国宠物行业作为新兴市场,潜力巨大 🌻2.2.2 我国宠物产品消费规模逐年增大 🌻2.2.3 我国宠物主选…

YOLOv5改进 | Head | 将yolov5的检测头替换为ASFF_Detect

💡💡💡本专栏所有程序均经过测试,可成功执行💡💡💡 在目标检测中,为了解决尺度变化的问题,通常采用金字塔特征表示。然而,对于基于特征金字塔的单次检测器来…

凡尔码来访登记卡助力来访安全

来访登记制度是指为了加强对来访人员的管理和安全控制,确保组织内部秩序和安全的一项制度。通过来访登记制度,可以对来访人员的身份进行核实,了解来访目的,并采取相应的安全措施,为组织内部的工作和人员安全提供保障。…

Sass实战运用,如何利用好Sass

Sass(Syntactically Awesome Stylesheets)是一种CSS预处理器,它提供了许多强大的功能,如变量、嵌套规则、混合(Mixins)、函数等,使得CSS的编写更加高效、灵活和易于维护。以下是关于Sass实战运用…

Go基础编程 - 05 - 数组与切片

目录 1. 数组2. 切片2.1. slice 声明、初始化2.2. slice 操作2.3. append() 追加切片、扩容2.4. 字符串和切片 3. Copy4. Array、Slice 内存布局 上一篇:基本类型、常量和变量 1. 数组 数组是同一种类型固定长度的序列(有长度、类型构成)。…