jwt - 第 2 | CN-SEC 中文网

安全新闻

网安原创文章推荐【2025/4/2】

2025-04-02 微信公众号精选安全技术文章总览洞见网安 2025-04-02 0x1 你的网站可能穿衣服了，但没完全穿：文件包含！！！week网安热爱者 2025-04-02 19:47:57 ...

04月10日14 views评论

阅读全文

安全文章

JWT|Venom-JWT越权反馈

Github地址：https://github.com/z-bool/Venom-JWTeyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1aWQiOjE3LCJwdiI...

04月06日10 views评论

阅读全文

安全文章

Yakit JWT Token 弱口令枚举

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！前言本文介绍 yakit 上...

04月01日25 views评论

阅读全文

Nacos默认密钥致认证绕过，你的系统可能裸奔

“ nacos 01 — Nacos为何成为攻击者的“后门”？ Nacos（Dynamic Naming and Configuration Service）作为微服务架构中的核心组件，广泛应用于服务...

03月30日安全新闻21 views评论

阅读全文

安全工具

Confusional：JWT算法混淆攻击的Python脚本

Confusional：执行JWT算法混淆攻击的Python脚本地址：https://github.com/RemmyNine/Confusional原文始发于微信公众号（Z1sec）：Confusi...

03月26日12 views评论

阅读全文

安全百科

一次性讲清楚OAuth2.0认证(一）

点击蓝字关注我们始于理论，源于实践，终于实战老付话安全，每天一点点激情永无限，进步看得见严正声明本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...

03月18日8 views评论

阅读全文

安全开发

开发安全的 API 所需要核对的清单

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！项目地址：https://g...

03月18日3 views评论

阅读全文

18个API渗透测试技巧及工具（2025实战手册）

随着微服务与云原生架构的普及，API已成为企业核心业务的关键入口。然而，OWASP API Security Top 10报告显示，75%的API漏洞源于身份验证缺失、数据过度暴露和业务逻辑缺陷。本文...

03月16日安全文章80 views评论

阅读全文

安全文章

一文学习JWT造成的各种安全漏洞利用手法

接受任意签名(未校验)JWT 库通常提供一种方法来验证令牌，而另一种方法只是解码它们。例如，Node.js 库 jsonwebtoken 具有 verify（）和 decode（）。有时，开发人员会...

03月10日29 views评论

阅读全文

安全文章

通过JWT的IDOR实现账户接管

关注公众号，阅读优质好文。正文在审查目标平台“redirect.com”的Web应用时，我发现它使用了JSON Web Token（JWT）进行身份验证，因此决定尝试进行账户接管（ATO）攻击。首先，...

03月10日8 views评论

阅读全文

移动安全

记一次小程序漏洞打包

本文由掌控安全学院 - bielang 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）前言：本文涉及的相关漏洞均已修复、本文中技术和方法...

03月05日30 views评论

阅读全文

代码审计

分享一次组合漏洞挖掘拿下目标

前言背景为多年前的某次红队在钓鱼、常规打点无果的情况下获取到了一份和目标单位某站点相匹配的代码，自此开始对这套代码进行审计。最终挖掘了众多小漏洞，在目标为springboot的情况下，利用jdk的懒...

03月05日37 views评论

阅读全文