jwt

安全文章

HTB之Yummy

HTB之Yummylinux(hard)Caddy服务器+go语言dashboard菜单可以注册并登录，流量包分析一下，用了jwt，且不是空密码，而且没额外参数，排除越权什么的，其它接口查找无果所以搜...

10月15日371 views评论

阅读全文

JWT # JWT 的通常加密方式有 RS 和 HS 将加密后的内容复制到 https://jwt.io/ 即可看到解密后的结果和加密方式其中 RS 是需要需要公私钥的，HS 是对称加密攻击方法 ...

10月15日安全博客4 views评论

阅读全文

安全文章

25种JWT Token渗透测试方法

本文阅读大约需要10分钟；JWT (JSON Web Token) 是一种常用的身份验证和授权机制，广泛应用于 Web 应用和 API 中。然而，如果 JWT Token 的实现或使用不当，就可能导致...

10月13日164 views评论

阅读全文

安全文章

渗透测试人员之 JavaScript 分析（二)

混淆与反混淆在我们讨论混淆技术之前，让我们从缩小和美化的概念开始。缩小化缩小是减小JavaScript文件大小，同时保持其功能的过程。这是通过删除不必要的字符（例如空格或换行符）来实现的。有时缩小还包...

10月10日14 views评论

阅读全文

安全文章

nacos 身份认证绕过漏洞(QVD-2023-6271)

JWT（Json Web Token） 0x00 JWT构成 Json Web Token简称JWT，用做用户身份验证。那么其结构长什么样呢，下面我会通过一个例子去分析。 eyJhbGciOiJIUz...

10月09日64 views评论

阅读全文

安全文章

利用XSS、OAuth配置错误实现token窃取及账户接管 (ATO)

正文目标：target.com 在子域sub1.target.com上，我发现了一个XSS漏洞。由于针对该子域的漏洞悬赏较低，我希望通过此漏洞将攻击升级至app.target.com，...

10月09日34 views评论

阅读全文

安全文章

Kubernetes has its ADCS

点击蓝字关注我们声明本文作者：Esonhugh本文字数：12642字阅读时长：约30分钟附件/链接：点击查看原文下载本文属于【狼组安全社区】原创奖励计划，未经许可禁止转载由于传播、利用此文所提供的信息...

09月28日18 views评论

阅读全文

安全工具

工具上新 Plumb，轻便的 DNSLog

Plumb 1.0.0https://github.com/0x584A/Plumb一个轮子，用于渗透测试优而化的 DNS/HTTP 日志工具，简洁、轻便、更易于使用。Chang Log2024-09...

09月27日12 views评论

阅读全文

安全百科

网络安全缩略语汇编手册-J

J缩写描述中文含义JDKJava Development KitJava开发工具包Java 开发工具包（JDK）是用于在 Java 中开发应用程序的软件开发环境。JITJust-in-Time准...

09月26日22 views评论

阅读全文

安全文章

从一个奇葩的JWT解密问题到Github 10K star组件的设计缺陷！！！

1.前言网上关于JWT相关漏洞的总结和介绍已经有非常多了，什么签名未校验、禁用Hash、爆破弱密钥、密钥混淆攻击等等，也有很多好用的工具，例如JWT_Tool等。在这一堆花哨的问题中，攻击者利用起来最...

09月25日25 views评论

阅读全文

安全文章

【内网安全】Nacos配置文件攻防思路总结

前言笔者最近在进行内网渗透时，遇到了存在超多Nacos资产的情况。而笔者在搜索Nacos相关利用资料时，发现大家的大部分注意力，似乎都是聚焦在Nacos本身的问题上，比如是否存在某个漏洞，能否RCE。...

09月25日26 views评论

阅读全文

安全文章

django应用JWT(JsonWebToken)实战

在前后端分离的项目中，前后端进行身份验证通常用JWT来进行，JWT 提供了一个理想的认证解决方案，用来保护 RESTful API，确保只有经过认证的用户才能访问受保护的资源。基于前端框架（如Reac...

09月22日11 views评论

阅读全文

HTB之Yummy

jwt

25种JWT Token渗透测试方法

渗透测试人员之 JavaScript 分析（二)

nacos 身份认证绕过漏洞(QVD-2023-6271)

利用XSS、OAuth配置错误实现token窃取及账户接管 (ATO)

Kubernetes has its ADCS

工具上新 Plumb，轻便的 DNSLog

网络安全缩略语汇编手册-J

从一个奇葩的JWT解密问题到Github 10K star组件的设计缺陷！！！

【内网安全】Nacos配置文件攻防思路总结

django应用JWT(JsonWebToken)实战

在线咨询

微信