漏洞简介Apache ShenYu是一个异步的,高性能的,跨语言的,响应式的API网关,Apache ShenYu功能十分强大且易于扩展,支持各种语言的http协议,同时支持Dubbo、 Spring...
08月05日11 viewscve
容器
漏洞复现评论
CVE-2021-37580 Apache ShenYu 身份验证绕过漏洞复现
08月05日11 viewscve
容器
漏洞复现评论
08月05日11 viewscve
容器
漏洞复现评论
技术解析 | JWT弱点的利用方式
>>>> 0x01 背景介绍 JWT(Json Web Token)是⼀种基于json的,用于在网络上声明的令牌。JWT是由三部分组成:头信息(header),消息体...
07月20日3 viewspayload
url
加密评论
虎符杯(HFCTF)writeup超详解-Web篇(上)
首届“虎符网络安全赛道”已告一段落,本次比赛Web赛题为一道php、两道NodeJS,考虑到官方公布的writeup过程过于简洁,本着分享及进步为原则,特对web赛题做一次详细解析,以供各位CTF爱好...
07月13日12 viewsjwt
secret
writeup评论
Hack The Box-TheNotebook
0x01 靶场描述 Hack the box 是国外的一个靶机平台,里面的靶机包含多种系统类型,并且里面可以利用的漏洞类型多种多样,有很多靶机其实非常贴近实战情景。...
07月11日1 viewsdocker
端口
靶机评论
最新BurpSuite2022.5.1专业版破解(稳定版)
免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雾晓安全及文章作者不为此承担任何责任。0x01 BurpSuite...
06月20日186 viewsburp
java
身份验证评论
深入考察JWT攻击
在本文中,我们将探讨JSON网络令牌(JWT)的设计问题以及不当的处理方式是如何让网站面临各种高危攻击的威胁的。由于JWT最常用于身份认证、会话管理和访问控制机制,因此,这些漏洞有可能危及整个网站及其...
06月16日22 viewsburp
https
攻击者评论
JWT 登录认证及 Token 自动续期方案解读
点击下方“IT牧场”,选择“设为星标”来源:juejin.cn/post/6932702419344162823过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经...
06月07日9 viewscookie
key
string评论
严重的Argo CD漏洞可能允许攻击者拥有管理员权限
幸运的是,应用程序在其默认设置中是安全的。严重的Argo CD漏洞可能允许攻击者拥有管理员权限,Kubernetes的持续交付工具Argo CD的维护者修补了一个严重漏洞,该漏洞使攻击者能够伪造JSO...
06月05日8 views攻击者
漏洞
用户评论
BurpSuite v2022.5专业版
点击上方蓝字,发现更多精彩此版Burp Scanner增加了许多增强功能,包括几个新的基于jwt的扫描检查,以及在提供应用程序登录时跳过未经身份验证的爬行的选项。BApp Store现在还提供应用内...
05月29日28 viewsburp
jwt
身份验证评论
最新BurpSuite2022.5专业版破解
0x01 BurpSuite介绍 BurpSuite2022.5专业版发布于2022年5月26日,此版本为BurpScanner添加了许多增强功能,包括几个新的基于JWT的扫描检查,以及在您提供应用程...
05月29日669 viewsburp
java
身份验证评论
web渗透测试实战过程(详细)
测试过程全部过程导图:渗透过程问题处理思路:1.登录功能的审查点很多,比如账号是否可枚举、密码是否可暴破,但前提是没有验证码。2.密码找回功能很容易出现逻辑错误,经验来看,至少可从七个方面攻击密码找回...
05月23日14 viewskey
print
服务端评论
CVE-2022-29266 Apache Apisix jwt-auth插件密钥泄漏
漏洞描述在2.13.1版本之前的APache APISIX中,攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lu...
05月16日21 viewsapache
https
插件1