安全文章

组组组合拳艰难渗透

前言 现在的攻防演练不再像以往那样一个漏洞直捣黄龙,而是需要各种组合拳才能信手沾来,但是有时候使尽浑身解数也不能诚心如意。 前期信息收集 首先是拿到靶标的清单 访问系统的界面,没有什么能利用的功能点 ...
admin 08月07日20 views评论jwt 系统
阅读全文
安全漏洞

CVE-2024-36111 POC

KubePi存在JWT验证绕过漏洞kubepi jwttoken 校验存在缺陷,默认配置文件中jwt密钥为空,虽然读取配置文件相关逻辑中检测到密钥为空时,会生成一个随机32位字符串覆盖配置文件中的密钥...
admin 08月02日63 views评论jwt 密钥
阅读全文
安全文章

JWT攻击面分析

前言在目前微服务的架构下,使用JWT作为用户的身份认证方式越来越常见。本篇文章就来认识一下JWT的生成方式以及可能存在的安全风险。由于本人水平有限,文章中可能会出现一些错误,欢迎各位大佬指正,感激不尽...
admin 07月17日37 views评论payload rsa
阅读全文
安全文章

记一次权限绕过案例

0x01 前言在几天前,我在圈子里让黑总放了一个demo,是我最近遇到的一个地方,我尽量将其还原大致的逻辑(有些地方写的有些问题,请各位师傅多多包涵)。如果有看过代码的师傅相信都已经能大致的知道问题出...
admin 07月15日48 views评论jwt 渗透实战
阅读全文