jwt - 第 12 | CN-SEC 中文网

安全文章

记一次项目中快速挖掘漏洞

安服仔漏洞挖掘在项目中一般时间很紧，给挖掘漏洞的时间也就一天，还必须有漏洞产出，本次来讲述一下如何快速挖掘漏洞，本次过程相关截图均已进行脱敏处理。主要用到的工具afrogFindSomething ...

03月16日26 views评论

阅读全文

安全新闻

揭示JWT开放标准的认证安全问题

JWT（JSON Web Token）是一种用于身份验证和授权的开放标准，它被广泛用于Web应用程序中。然而，尽管JWT是一种流行的身份验证机制，但它也可存在一些安全漏洞。 JWT原理 JWT 的原理...

03月13日14 views评论

阅读全文

CTF专场

lineCTF-22Gotom复现含docker环境

这个月今年陆陆续续学了挺多go的语法于是找了一道不算很难的题目来看看于是我在github找到了这个题由于是国外的go题，国内docker拉取有一些问题下面是我改进的： gotom.zi...

03月12日24 views评论

阅读全文

安全文章

十分钟，带你看懂JWT（绕过令牌）

前言在挖掘 SRC 的时候，面对一些 SSO 的场景，经常会看到一些奇奇怪怪的数据，这些数据多以三段式加密方式呈现，在后续的学习过程中，明白了此类令牌名为 Token，在之前的学习过程中简单...

03月08日45 views评论

阅读全文

安全文章

Springblade JWT身份伪造漏洞与SQL注入解析

springblade框架（又称为BladeX）是基于spring微服务二次开发的框架，广泛应用于java后端的开发中，比如哈尔滨新中新公司的慧新e校系统就是基于springblade开发的。1.JW...

03月02日434 views评论

阅读全文

安全工具

用于测试、调整和破解 JWT 的工具包

工具介绍 jwt_tool.py是一个用于验证、伪造、扫描和篡改 JWT（JSON Web 令牌）的工具包。其功能包括：检查令牌的有效性测试已知漏洞： (CVE-2015-2951) alg=n...

02月21日59 views评论

阅读全文

代码审计

刷爆码云系列：Fastcms 代码审计(第二篇)

经常会遇到jwt secret硬编码导致的权限绕过，本项目可以通过jwt权限绕过+模版注入rcejwt伪造fastcms-v0.1.5-release/web/src/main/resources/a...

02月19日59 views评论

阅读全文

安全漏洞

关于Nacos身份认证绕过漏洞默认密钥和JWT的研究 && 复现Nacos 身份认证绕过（QVD-2023-6271）

0x01 阅读须知花果山的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作...

02月15日39 views评论

阅读全文

安全文章

JWT的认证bypass

扫码领资料获网安教程通过PortSwigger上的JWT关卡来浅析学习下JWT token认证的绕过。BurpSuite中有一个JWT Editor Keys插件可以用来识别使用JWT认证的包，安装好...

02月09日14 views评论

阅读全文

安全文章

常见的JWT令牌的漏洞利用方式-漏洞探测

0x01 前言JSON Web 令牌 (JWT) 是一种标准化格式，用于在系统之间发送加密签名的 JSON 数据。理论上，它们可以包含任何类型的数据，但最常用于发送有关用户的信息（“声明”），作为身份...

02月05日36 views评论

阅读全文

安全文章

javaweb-webgoat8靶场+漏洞产生

JavaWeb-WebGoat8靶场搭建使用java运行jar包成功搭建靶场访问成功文件上传中的路径遍历第一关：将头像上传到上一级目录根据代码审计得知上传路径由fullname的值控制抓包修改full...

02月02日40 views评论

阅读全文

安全文章

JWT渗透姿势

0X01 什么是jwt？JWT 全称 JSON Web Token，是一种标准化格式，用于在系统之间发送加密签名的 JSON 数据。原始的 Token 只是一个 uuid，没有任何意义。JWT的结构由...

01月29日20 views评论

阅读全文

记一次项目中快速挖掘漏洞

揭示JWT开放标准的认证安全问题

lineCTF-22Gotom复现含docker环境

十分钟，带你看懂JWT（绕过令牌）

Springblade JWT身份伪造漏洞与SQL注入解析

用于测试、调整和破解 JWT 的工具包

刷爆码云系列：Fastcms 代码审计(第二篇)

关于Nacos身份认证绕过漏洞默认密钥和JWT的研究 && 复现Nacos 身份认证绕过（QVD-2023-6271）

JWT的认证bypass

常见的JWT令牌的漏洞利用方式-漏洞探测

javaweb-webgoat8靶场+漏洞产生

JWT渗透姿势

在线咨询

微信