FastAPI Swagger Api 接口未授权访问漏洞
- [1. 漏洞基础信息](#1. 漏洞基础信息)
- [2. 漏洞影响范围](#2. 漏洞影响范围)
- [3. 漏洞核心原理](#3. 漏洞核心原理)
- [4. 漏洞攻击手法](#4. 漏洞攻击手法)
- [5. 漏洞危害分析](#5. 漏洞危害分析)
- [6. 漏洞修复方案](#6. 漏洞修复方案)
-
- [6.1 生产环境完全禁用 API 文档(推荐)](#6.1 生产环境完全禁用 API 文档(推荐))
- [6.2 仅开发环境启用,生产环境自动关闭](#6.2 仅开发环境启用,生产环境自动关闭)
- [6.3 Web 服务器层限制访问](#6.3 Web 服务器层限制访问)
1. 漏洞基础信息
- 漏洞名称:FastAPI Swagger/OpenAPI 接口未授权访问漏洞
- 漏洞组件:FastAPI 框架(内置 Swagger UI/ReDoc API 文档组件)
- 漏洞类型:未授权访问(CWE-284)、敏感信息泄露(CWE-200)
2. 漏洞影响范围
全版本 FastAPI 均受影响(该问题为框架默认配置,非代码漏洞,所有版本均存在默认开放 API 文档的特性)
3. 漏洞核心原理
FastAPI 默认特性:FastAPI 框架默认自动生成并开放三个核心 API 文档接口:
- /docs:Swagger UI 可视化接口调试页面
- /redoc:ReDoc 接口文档页面
- /openapi.json:OpenAPI 规范的接口元数据文件
如果,开发者在生产环境中未修改默认配置,未对上述接口添加任何身份验证、权限校验或访问限制,那么攻击者无需登录、无需任何权限,直接通过浏览器 / 工具访问上述接口,即可无限制获取全部 API 接口信息,框架本身不会拦截未授权访问
4. 漏洞攻击手法
1、探测接口:攻击者对目标 FastAPI 服务访问默认路径
2、获取敏感信息:
- 查看所有 API 的请求地址、请求方法(GET/POST/PUT/DELETE)、请求参数、返回数据结构
- 窃取接口中的业务字段(用户 ID、手机号、订单号、token 参数、数据库字段等)
3、深度攻击利用:
- 直接在 Swagger 页面在线调试未授权 API,测试接口越权、参数篡改、数据遍历;
- 结合泄露的接口信息,构造恶意请求,批量爬取数据、执行未授权操作;
- 为 SQL 注入、命令注入、越权访问等漏洞提供精准攻击目标。
5. 漏洞危害分析
漏洞危害程度取决于接口信息的敏感程度,一般来讲,外网的 FastAPI Swagger Api 接口未授权访问漏洞 危害较大
6. 漏洞修复方案
6.1 生产环境完全禁用 API 文档(推荐)
直接关闭 FastAPI 默认的 Swagger/OpenAPI 接口,彻底消除漏洞,例如:
python
from fastapi import FastAPI
# 生产环境:将docs_url、redoc_url、openapi_url设置为None,禁用所有接口
app = FastAPI(
docs_url=None, # 禁用Swagger UI
redoc_url=None, # 禁用ReDoc文档
openapi_url=None # 禁用OpenAPI元数据
)6.2 仅开发环境启用,生产环境自动关闭
通过环境变量区分环境,灵活控制:
python
from fastapi import FastAPI
import os
# 判断是否为生产环境
ENV = os.getenv("ENVIRONMENT", "dev")
if ENV == "prod":
# 生产环境:禁用所有API文档
app = FastAPI(docs_url=None, redoc_url=None, openapi_url=None)
else:
# 开发/测试环境:正常启用
app = FastAPI()6.3 Web 服务器层限制访问
通过 Nginx/Traefik 等反向代理,对/docs、/redoc、/openapi.json接口做:
- IP 白名单限制(仅允许内网 / 办公网 IP 访问)
- 直接返回 403 禁止访问