jwt - 第 2 | CN-SEC 中文网

安全开发

开发安全的 API 所需要核对的清单

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！项目地址：https://g...

03月18日3 views评论

阅读全文

18个API渗透测试技巧及工具（2025实战手册）

随着微服务与云原生架构的普及，API已成为企业核心业务的关键入口。然而，OWASP API Security Top 10报告显示，75%的API漏洞源于身份验证缺失、数据过度暴露和业务逻辑缺陷。本文...

03月16日安全文章60 views评论

阅读全文

安全文章

一文学习JWT造成的各种安全漏洞利用手法

接受任意签名(未校验)JWT 库通常提供一种方法来验证令牌，而另一种方法只是解码它们。例如，Node.js 库 jsonwebtoken 具有 verify（）和 decode（）。有时，开发人员会...

03月10日23 views评论

阅读全文

安全文章

通过JWT的IDOR实现账户接管

关注公众号，阅读优质好文。正文在审查目标平台“redirect.com”的Web应用时，我发现它使用了JSON Web Token（JWT）进行身份验证，因此决定尝试进行账户接管（ATO）攻击。首先，...

03月10日8 views评论

阅读全文

移动安全

记一次小程序漏洞打包

本文由掌控安全学院 - bielang 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）前言：本文涉及的相关漏洞均已修复、本文中技术和方法...

03月05日27 views评论

阅读全文

代码审计

分享一次组合漏洞挖掘拿下目标

前言背景为多年前的某次红队在钓鱼、常规打点无果的情况下获取到了一份和目标单位某站点相匹配的代码，自此开始对这套代码进行审计。最终挖掘了众多小漏洞，在目标为springboot的情况下，利用jdk的懒...

03月05日36 views评论

阅读全文

安全文章

记一次某大学的漏洞挖掘

本文由掌控安全学院 - 徐来. 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）宇宙免责声明！！！本文涉及的相关漏洞均已修复、本文中技术和...

03月02日16 views评论

阅读全文

安全工具

Venom-JWT实战越权管理员(V1.0.1 20250301更新)

此文章只为学习而生，请勿干违法违禁之事，本公众号只在技术的学习上做以分享，开发个工具帮助进行项目上的渗透测试，所有行为与本公众号无关。后续开发的项目渗透服务类工具Github：https://gi...

03月02日28 views评论

阅读全文

安全开发

这篇有点硬详解 Spring Security 框架

干安全的Security框架还不懂就得小心了，面试官一问你怎么防护呢？你咋说，你要是上来给他催一波Security框架防护技巧，估计面试官对你刮目想看。关于Java安全的代码审计已经更新，对应的面试题...

02月23日21 views评论

阅读全文

安全百科

身份验证漏洞

01定义身份验证是确认用户身份的过程（如账号密码登录）。身份验证漏洞是指系统在验证用户身份时存在缺陷，导致攻击者能够绕过正常的身份验证流程，以未经授权的身份访问系统资源或执行操作。这种漏洞可能源于多...

02月19日16 views评论

阅读全文

安全文章

DeepSeek分析DeepSeek App

一、目标山中方一日，世上已千年。Chatgpt的喧嚣感觉还在昨天，DeepSeek已经迎面而来。今天我们就在DeepSeek的帮助下来分析DeepSeek AppPOST https://chat.d...

02月18日55 views评论

阅读全文

安全百科

JWT攻击

01JWTJSON Web Token (JWT)是一个开放标准(RFC 7519) ,用于作为 JSON 对象在各方之间安全地传输信息,因为它是经过数字签名的，所以此信息可以进行验证和信任，通常用于...

02月17日30 views评论

阅读全文

开发安全的 API 所需要核对的清单

18个API渗透测试技巧及工具（2025实战手册）

一文学习JWT造成的各种安全漏洞利用手法

通过JWT的IDOR实现账户接管

记一次小程序漏洞打包

分享一次组合漏洞挖掘拿下目标

记一次某大学的漏洞挖掘

Venom-JWT实战越权管理员(V1.0.1 20250301更新)

这篇有点硬详解 Spring Security 框架

身份验证漏洞

DeepSeek分析DeepSeek App

JWT攻击

在线咨询

微信