API声明文件Swagger Injection攻击

	Swagger 在API化的世界里，相信无论是前端还是后端开发，都或多或少地被接口维护折磨过。随着API迭代老旧API文档 和SDK需要更新，这是一个耗散研发精力的事情。为解决此类问题，以API为软件能力最终交付物的生态不断演 进 最终形成了工具+流程的一套解决方案。通过这套方案，研发人员只需要按照既定的规范去定义接口再通过 Swagger衍生出来的一系列项目和工具，就可以做到生成各种格式的接口文档，生成多种语言的客户端和服务 端的代码 以及在线接口调试页面等等。 在传统service交付模式中，上游供应商提供SDK，开发者下载SDK并植入自己的项目代码中 以调用上游 service的能力在以API为最终交付物的软件生态中，上游仅维护API的正常功能并通过API声明文件的方 式对外暴露API的接入方式下游企业通过这份API格式声明自动化生成多语言的SDK进行集成这一过程 通过自动化的手段大大提高了应用间集成的效率。 Swagger Injection swagger API声明文件包含了API的接入方式、参数定义及格式。样例： 前文中提到，上游供应商交付这份API声明文件之后，下游企业自动化解析该声明生成SDK的 过程会出现代码注入问题，经过笔者的一些测试，通过向swagger json中注入payload 可以 成功污染SDK的代码，并在API client运行时触发RCE，具体流程如下： Swagger-codegen代码注入 在上述API交付流程中，下游企业通过swagger自动化生成代码的工具项目很多其中以官方 swagger-codegen为代表被广泛集成于各种api-automation流程中。 构造恶意swagger definition 生成SDK中携带恶意代码 Restler-fuzzer代码注入 restler-fuzzer是MS开源的一款在CI过程中API自动化测试工具，该工具在compile阶段解析swagger 声明生成python  request SDK，然后在test/fuzz阶段通过python内置类控制request的参数和结构 变化从而达到黑盒测试bug和安全漏洞的目标。 在swagger解析过程中通过构造特定参数向中间态python文件中植入代码。 针对fuzzer的online service，可以通过提交特定swagger直接RCE。 总结 提供一种以swagger为输入点的攻击思路，API开发者生态中的swagger to code阶段主 流工具存在代码注入风险，开发者应将API声明文件视作不可信输入源对待，并在自动化 代码生成环节添加相应的安全管控手段。