FastAPI Swagger Api 接口未授权访问漏洞

FastAPI Swagger Api 接口未授权访问漏洞

• [1. 漏洞基础信息](#1. 漏洞基础信息)
• [2. 漏洞影响范围](#2. 漏洞影响范围)
• [3. 漏洞核心原理](#3. 漏洞核心原理)
• [4. 漏洞攻击手法](#4. 漏洞攻击手法)
• [5. 漏洞危害分析](#5. 漏洞危害分析)
• [6. 漏洞修复方案](#6. 漏洞修复方案)
• • [6.1 生产环境完全禁用 API 文档（推荐）](#6.1 生产环境完全禁用 API 文档（推荐）)
  • [6.2 仅开发环境启用，生产环境自动关闭](#6.2 仅开发环境启用，生产环境自动关闭)
  • [6.3 Web 服务器层限制访问](#6.3 Web 服务器层限制访问)

1. 漏洞基础信息

• 漏洞名称：FastAPI Swagger/OpenAPI 接口未授权访问漏洞
• 漏洞组件：FastAPI 框架（内置 Swagger UI/ReDoc API 文档组件）
• 漏洞类型：未授权访问（CWE-284）、敏感信息泄露（CWE-200）

---

2. 漏洞影响范围

全版本 FastAPI 均受影响（该问题为框架默认配置，非代码漏洞，所有版本均存在默认开放 API 文档的特性）

---

3. 漏洞核心原理

FastAPI 默认特性：FastAPI 框架默认自动生成并开放三个核心 API 文档接口：

• /docs：Swagger UI 可视化接口调试页面
• /redoc：ReDoc 接口文档页面
• /openapi.json：OpenAPI 规范的接口元数据文件

如果，开发者在生产环境中未修改默认配置，未对上述接口添加任何身份验证、权限校验或访问限制，那么攻击者无需登录、无需任何权限，直接通过浏览器 / 工具访问上述接口，即可无限制获取全部 API 接口信息，框架本身不会拦截未授权访问

---

4. 漏洞攻击手法

1、探测接口：攻击者对目标 FastAPI 服务访问默认路径

2、获取敏感信息：

• 查看所有 API 的请求地址、请求方法（GET/POST/PUT/DELETE）、请求参数、返回数据结构
• 窃取接口中的业务字段（用户 ID、手机号、订单号、token 参数、数据库字段等）

3、深度攻击利用：

• 直接在 Swagger 页面在线调试未授权 API，测试接口越权、参数篡改、数据遍历；
• 结合泄露的接口信息，构造恶意请求，批量爬取数据、执行未授权操作；
• 为 SQL 注入、命令注入、越权访问等漏洞提供精准攻击目标。

---

5. 漏洞危害分析

漏洞危害程度取决于接口信息的敏感程度，一般来讲，外网的 FastAPI Swagger Api 接口未授权访问漏洞 危害较大

---

6. 漏洞修复方案

6.1 生产环境完全禁用 API 文档（推荐）

直接关闭 FastAPI 默认的 Swagger/OpenAPI 接口，彻底消除漏洞，例如：

from fastapi import FastAPI

# 生产环境：将docs_url、redoc_url、openapi_url设置为None，禁用所有接口
app = FastAPI(
    docs_url=None,       # 禁用Swagger UI
    redoc_url=None,      # 禁用ReDoc文档
    openapi_url=None     # 禁用OpenAPI元数据
)

6.2 仅开发环境启用，生产环境自动关闭

通过环境变量区分环境，灵活控制：

from fastapi import FastAPI
import os

# 判断是否为生产环境
ENV = os.getenv("ENVIRONMENT", "dev")
if ENV == "prod":
    # 生产环境：禁用所有API文档
    app = FastAPI(docs_url=None, redoc_url=None, openapi_url=None)
else:
    # 开发/测试环境：正常启用
    app = FastAPI()

6.3 Web 服务器层限制访问

通过 Nginx/Traefik 等反向代理，对/docs、/redoc、/openapi.json接口做：

• IP 白名单限制（仅允许内网 / 办公网 IP 访问）
• 直接返回 403 禁止访问