32499 запросов за пять лет. Хакеры используют открытую документацию API, чтобы найти уязвимости
Открытый swagger.json делает половину работы за злоумышленников.
Файл с описанием программного интерфейса может выглядеть как обычная техническая деталь, но для злоумышленников такой файл часто превращается в удобную карту чужого сервиса.
Интернет-центр SANS сообщил, что злоумышленники продолжают массово сканировать файлы swagger.json. Такой файл используют в Swagger, или OpenAPI, чтобы описывать работу программного интерфейса, доступные функции и правила обращения к ним. Для разработчиков swagger.json помогает быстрее подключаться к сервису, но при неосторожной публикации даёт посторонним слишком много сведений.
С точки зрения безопасности веб-приложений swagger.json похож на открытый список разделов для программного интерфейса. Сам по себе такой файл не делает систему уязвимой и часто нужен командам разработки. Проблема начинается, когда документ с описанием интерфейса оказывается доступен извне без контроля доступа.
По данным SANS, злоумышленники годами ищут такие файлы по типовым адресам. Самым популярным остаётся путь /swagger.json, по которому с конца 2020 года зафиксировали 32 499 запросов. Также часто проверяют /api/v2/swagger.json, /swagger/v1/swagger.json, /api/swagger.json и /api-docs/swagger.json. Последние обращения к части таких адресов фиксировались 2 и 3 июня 2026 года.
Интерес к swagger.json объясняется просто. Описание программного интерфейса может раскрыть набор функций, структуру запросов, внутренние названия и другие подсказки о приложении. По таким данным атакующие быстрее понимают, какой продукт стоит за сервисом, и могут искать известные уязвимости или слабые места в логике работы.
SANS также отметил новые варианты адресов, которые начали появляться в 2026 году. Среди них встречаются закодированные пути вроде /%2Fswagger.json и более длинные адреса с разделами api-docs и swagger. Запросов к ним пока намного меньше, но сама активность показывает, что автоматические сканеры продолжают расширять набор проверяемых путей.
SANS.edu не призывает отказываться от swagger.json. Главный вывод другой: организациям стоит самим заранее искать такие файлы в своей инфраструктуре и проверять, не опубликованы ли они там, где доступ должен быть закрыт. Для компаний с большим числом веб-сервисов такая проверка особенно важна. Чем больше свободы даёт подход с программными интерфейсами, тем выше риск случайно оставить наружу документ, который сильно упрощает разведку для атакующих.