当前位置：首页 > news >正文

swagger关闭/v2/api-docs仍然可以访问漏洞

news 2026/2/7 22:23:01

今天接到安全团队的说swagger有未授权访问漏洞，即使在swagger关闭的情况下http://127.0.0.1:8086/agcloud/v2/api-docs?group=%E7%94%A8%E6%88%B7%E5%85%B3%E8%81%94%E4%BF%A1%E6%81%AF%E6%A8%A1%E5%9D%97仍然还能访问。

看了下原来是有写一个拦截器

        registry.addInterceptor(loginInterceptor).addPathPatterns("/v2/api-docs");registry.addInterceptor(loginInterceptor).addPathPatterns("/swagger-ui.html");

断点之后发现是有生效的，/swagger-ui.html不能再访问，但是/v2/api-docs路径还是可以访问，确定拦截器有生效，不是拦截器的问题。

查看基于springMVC请求入口找到DispatcherServlet类，找到doDispatch方法

protected void doDispatch(HttpServletRequest request, HttpServletResponse response) throws Exception {......try {// HandlerMapping根据请求路径选择对应的handler（controller下的某个方法）来处理当前请求// 补充下HandlerMapping：// 1. 根据当前请求的找到对应的 Handler，// 2. 将 Handler（执行程序）与一堆 HandlerInterceptor（拦截器）封装到 HandlerExecutionChain 对象中// 3. DispatcherServlet会从容器中取出所有HandlerMapping实例并遍历，让HandlerMapping实例根据自己实现类的方式去尝试查找HandlermappedHandler = getHandler(processedRequest);......// 根据handler来找到支持它的HandlerAdapter，通过HandlerAdapter执行这个最后的代码处理逻辑得到具体的返回结果HandlerAdapter ha = getHandlerAdapter(mappedHandler.getHandler());......// 拦截器preHandle处理，按顺序执行if (!mappedHandler.applyPreHandle(processedRequest, response)) {return;}// handlerAdapter实际的执行逻辑mv = ha.handle(processedRequest, response, mappedHandler.getHandler());......// 拦截器postHandle处理mappedHandler.applyPostHandle(processedRequest, response, mv);} catch (Throwable err) {......} finally {......}
}

在doDispatch方法中，拦截器的preHandle执行逻辑在mappedHandler.applyPreHandle中，接下来我看下这个方法：

	boolean applyPreHandle(HttpServletRequest request, HttpServletResponse response) throws Exception {// 遍历handler绑定的所有interceptors，按顺序执行preHanlde方法for (int i = 0; i < this.interceptorList.size(); i++) {HandlerInterceptor interceptor = this.interceptorList.get(i);// 如果preHandle返回false，则触发afterCompletion方法的执行if (!interceptor.preHandle(request, response, this.handler)) {triggerAfterCompletion(request, response, null);return false;}this.interceptorIndex = i;}return true;}

debug跟踪到这个方法，发现applyPreHandle方法中this.interceptorList的长度为0，即处理该请求的handler没有绑定任何interceptor。这个时候很容易想到问题可能出现在handlerMapping上，因为handlerMapping负责将handler与一堆 handlerInterceptor（拦截器）封装到 HandlerExecutionChain 对象中

doDispatch中的getHandler方法断点

参考：记一次自定义拦截器失效的问题排查 - 简书

swagger关闭/v2/api-docs仍然可以访问漏洞

相关文章：

swagger关闭/v2/api-docs仍然可以访问漏洞

k8s pod调度总结

28个案例问题分析---10---对生产环境的敬畏--生产环境

视觉SLAM十四讲ch7-1视觉里程计笔记

模仿评论样式

xxl-job调度中心、执行器源码详解

cpp c++summary笔记复杂类型 “right-left” rule

bash编程（马哥）

搭建Gerrit环境Ubuntu

朋友去华为面试，轻松拿到26K的Offer，羡慕了......

springboot项目如何配置启动端口

IOS - 抓包通杀篇

盒子模型的简介

Kubernetes 101，第二部分，pod

protobuf序列化解码原理

OpenCV——line、circle、rectangle、ellipse、polylines函数的使用和绘制文本putText函数以及绘制中文的方法。

性能平台数据提速之路

Dns域名解析服务器

关于 JavaScript 中的 Promises

PMP考前冲刺题——错题集

盘古信息PCB行业解决方案：以全域场景重构，激活智造新未来

DAY 47

Auto-Coder使用GPT-4o完成：在用TabPFN这个模型构建一个预测未来3天涨跌的分类任务

《用户共鸣指数（E）驱动品牌大模型种草：如何抢占大模型搜索结果情感高地》

学校招生小程序源码介绍

Ascend NPU上适配Step-Audio模型

打手机检测算法AI智能分析网关V4守护公共/工业/医疗等多场景安全应用

wpf在image控件上快速显示内存图像

【Kafka】Kafka从入门到实战：构建高吞吐量分布式消息系统

数据库正常，但后端收不到数据原因及解决