0x00 漏洞概述CVE IDCVE-2022-23529发现时间2023-01-10类 型输入验证不当等 &nbs...
01月10日377 views评论信息安全
远程代码执行漏洞
SecMap - JWT
🍊 SecMap - JWT这是橘子杀手的第 39 篇文章题图摄于:长沙 · 岳麓山SecMap 系列停止更新有一段时间了,年初立的 Flag 不能倒!☁️ 介绍🌧 JWT 的理解JWT(Json W...
01月08日9 views评论payload
服务端
VulnHub-Bulldog: 2
大余安全 一个每日分享渗透小技巧的公众号大家好,这里是 大余安全 的第 50 篇文章,本公众号会每日分享攻防渗透技术给大家。靶机地址:ht...
01月08日24 views评论ctf
vulnhub
JWT Support for Burp
JSON Web 令牌 (JWT) 支持 Burp 拦截代理。JWT4B 将允许您即时操作 JWT,自动执行针对 JWT 的常见攻击,并在代理历史记录中为您解码。JWT4B 自动检测“授权承载”标头形...
01月06日42 views评论burp
jwt
JWT 原理与设计上的缺陷及利用(基础篇)
基本概念JSON Web Token (JWT)是一个开放标准 ( RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象的形式安全传输信息。此信息可以验证和信任,...
11月15日52 views评论服务器
用户
2022HashRun安全团队祥云杯wp
这次比赛没有挂团队名,因为我们都害怕打不好给团队丢脸,当时都抱着爆0的心态去打的此次参加比赛的师傅平均年龄19HashRun安全团队-CTF组HaveFun@T4x0r注册一个admin账号发现页面会...
11月01日259 views评论admin
import
身份验证绕过 & 文件上传 & 任意文件覆盖
我如何找到身份验证绕过>>文件上传漏洞>>任意文件覆盖以及我如何管理我在上传后找到了文件的路径!!!!今天我要分享一个我不久前发现的漏洞流程,我认为这很有趣,一共获得了 2.3...
10月30日135 views评论文件上传
身份验证
实战 | 记一次23000美元赏金的漏洞挖掘
记一次23000美元赏金的漏洞挖掘这三个漏洞分别是身份验证绕过&文件上传&任意文件覆盖今天我要分享一个我不久前发现的漏洞,我认为这很有趣。但我不会分享漏洞赏金计划名称和域名..等,因为...
10月20日65 views评论漏洞挖掘
身份验证
记录一次JWT的越权渗透测试
简单介绍:在一次某行动暂停之后,某单位重新对自身的业务进行了评估,系统业务使用SSO进行登录,而这个SSO登录后的子系统访问采用JWT进行认证,因此有了这一个漏洞的发生,漏洞利用较为简单,各位师傅请见...
10月17日86 views评论jwt
oracle
五种不一样的身份验证绕过技术
五种不一样的身份验证绕过技术声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言 身份验证...
10月01日79 views评论应用程序
身份验证
一文搞明白Cookie、Session与Token
一文搞明白Cookie、Session与Token前言本文旨在系统梳理总结下Cookie、Session和TokenCookie:存在客户端,用来解决客户端如何保存信息的问题Session:存在服务端...
08月31日142 views评论客户端
服务端
CVE-2022-29266 Apache Apisix jwt-auth插件密钥泄漏漏洞复现
01漏洞介绍Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体...
08月26日194 views评论插件
漏洞复现
22