2024-07-26 微信公众号精选安全技术文章总览洞见网安 2024-07-260x1 Suricata检测Nacos默认密钥攻击Desync InfoSec 2024-07-26 21:57:45...
JSON Web Tokens 令牌工具包
随便聊聊最近在工作中遇到的一些有趣的技术问题。最近在做hvv方面的工作,正考虑加强对 JSON Web Tokens(JWT)的验证和安全性管理。发现了一个开源工具 jwt_tool.py,它真的是太...
JWT原理解析与实战通杀(附带POC)
JWT的原理什么是JWTJWT(JSON Web Token)是一种用于在各方之间作为JSON对象安全地传输信息的开放标准。信息可以被验证和信任,因为它是经过数字签名的。JWT通常用于身份验证和信息交...
JWT攻击面分析
前言在目前微服务的架构下,使用JWT作为用户的身份认证方式越来越常见。本篇文章就来认识一下JWT的生成方式以及可能存在的安全风险。由于本人水平有限,文章中可能会出现一些错误,欢迎各位大佬指正,感激不尽...
记一次权限绕过案例
0x01 前言在几天前,我在圈子里让黑总放了一个demo,是我最近遇到的一个地方,我尽量将其还原大致的逻辑(有些地方写的有些问题,请各位师傅多多包涵)。如果有看过代码的师傅相信都已经能大致的知道问题出...
解码 JWT 漏洞:深入探讨 JWT 安全风险及缓解措施
JSON Web Tokens (JWT) 已成为一种流行的方法,用于以 JSON 对象的形式在各方之间安全地传输信息。它们紧凑、独立且易于验证,是 Web 应用程序中身份验证和信息交换的理想选择。它...
揭秘JWT:从CTF实战到Web开发,使用JWT令牌验证
揭秘JWT:从CTF实战到Web开发,使用JWT令牌验证介绍JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络上安全地传输信息。这种...
stthjpv:一款针对JWT Payload的安全保护工具
stthjpv是一款针对JWT Payload的安全保护工具,这款工具集多种技术和思想于一身,可以通过不断改变相关参数值来防止Payload被解码,以帮助广大研究人员更好地保护JWT Payload的...
记某平台课程学习快速通关
0x01 前言内容比较水很简单,这里主要记录一下后面可能还用得到。接到通知要完成课程学习任务,占一定比例考试成绩,时长需要满差不多30个小时,头都大了。挨个看不知道要到啥时候,全部点开放到后台播放占用...
攻防演练中登录凭据可复用漏洞及原理分析
前段时间在攻防演练中遇到了一个登录凭据可复用漏洞。但是不清楚具体业务代码的实现逻辑,这篇文章主要对该漏洞代码层面进行分析。1、漏洞演示(本次演示非目标网站,以本地网站演示):大致讲一下漏洞发现思路。从...
JWT攻击手册
JSON Web Token(JWT)对于渗透测试人员而言可能是一种非常吸引人的攻击途径,因为它们不仅是让你获得无限访问权限的关键,而且还被视为隐藏了通往以下特权的途径:特权升级,信息泄露,SQLi,...
关于BlackHat2023上JWT三个新攻击方式的学习笔记
戳上面的蓝字关注我吧!01 前言—最近看到去年的BlackHat针对JWT的三种新攻击方式的议题,介绍了三种关于JWT的新攻击方式,便想着复现一下学习学习。02 名词解释—JWT(JSON Web T...
22