用于探测 Swagger/OpenAPI 文档并尝试未授权访问接口,辅助安全自查。识别 swagger-ui 页面、swagger-resources 入口、Swagger 1.x/V2/V3 文档,在谨慎策略下对接口进行 GET/POST 探测并生成 Excel 报告。
-
多入口与版本解析
- 识别
openapi.json/swagger.json(V2/V3)、swagger-resources、Swagger 1.x 资源列表 - 可从 swagger-ui HTML 页面中解析真实 API 文档地址( Selenium 渲染)
- 识别
-
安全与克制
-
仅发起
GET/POST请求,默认忽略破坏性动作 -
路径命中危险关键字(如 'delete', 'remove', 'destroy', 'drop', 'del', 'erase', 'update', 'modify', 'edit', 'set', 'change', 'upd',
'mod', 'patch', 'put', 'add', 'create', 'new', 'insert', 'save', 'upload')自动过滤
-
对 HTML/二进制/非文本进行类型判定并“降噪”保存
-
-
报告输出
- 生成 Excel 报告:
所有API、已调用API、已过滤API - 自动调宽与状态配色,高可读
- 生成 Excel 报告:
-
实用开关
--force-domain强制使用初始域名,忽略文档内servers
swagger.py:核心扫描逻辑与 CLIchromedriver.exe:Windows ChromeDriverdebug.log:调试日志(运行生成)
# 单目标扫描(自动识别入口类型:swagger-ui / api-docs / swagger-resources)
python swagger.py -u https://example.com/swagger-ui/index.html
# 忽略文档内 servers,强制使用初始域名(遇到内网域名或IP直接使用此参数)
python swagger.py -u https://example.com/v3/api-docs --force-domain# 批量扫描(每行一个 URL)
# urls.txt:
# https://a.com/v3/api-docs
# https://b.com/swagger-ui/index.html
python swagger.py -f urls.txt红框或者error忽略即可
设计的execl更方便查缺补漏
- Python 3(本人Python 3.10.11)
- 依赖安装:
pip install requests loguru selenium openpyxl urllib3- 若需要解析 swagger-ui HTML:
- 安装 Chrome 与匹配版本 ChromeDriver(一般都用chrome问题不大)
- 将驱动置于项目根目录(Windows 可用
chromedriver.exe,其他平台放置chromedriver并赋执行权限)测试过win+linux没问题,mac都自己试下 - chromedriver建议都自己下载,避免钓鱼,py文件同目录下即可;
- 官网地址附上:https://googlechromelabs.github.io/chrome-for-testing/
-
常用参数
-u, --url:单个目标(支持 swagger-ui、api-docs、swagger-resources)-f, --file:批量目标文件(逐行 URL)--force-domain:忽略文档内servers,强制使用初始域名
-
请求与参数策略(宁可漏报也不可误删误改)
- 仅尝试
GET、POST - 自动填充占位参数:
- path 参数:用占位值替换路径变量(数字就填充1,字母填充a)
- query 参数:填充简单占位值
- body(JSON):按 schema 尝试生成示例
- 命中高风险关键字的 URL 自动跳过
- 仅尝试
- 扫描结束生成
YYYYMMDDHHMM_xxx.xlsx:所有API:记录发现的所有路径,标注“调用/过滤”已调用API:记录请求方法、URL、参数、状态码、截断后的响应已过滤API:记录被策略拦截的接口与原因
- 感谢evilc0deooo师傅,在此项目基础上二开,新增过滤与输出需求,兼容1/2/3.0
- https://github.com/evilc0deooo/SwaggerHound
- 仅用于授权范围内的自查与安全验证
- 使用者需自行承担使用与合规责任