- 博客(4)
- 收藏
- 关注
RSS订阅原创 JWT可能会存在的安全漏洞
JWT安全漏洞分析及防护建议 JWT(JSON Web Token)作为现代认证机制,在微服务、API网关等场景广泛应用,但其安全风险不容忽视。本文系统分析了JWT在Header、Payload和Signature三部分的安全漏洞: Header漏洞:算法降级(如alg=none)、密钥注入(kid路径遍历)、JWKS劫持等可导致签名绕过、密钥泄露 Payload漏洞:敏感信息泄露、过期策略缺失、权限字段篡改等问题可能引发持久化提权 Signature漏洞:弱密钥、密钥泄露、签名校验缺失等会直接导致系统被完
2025-12-17 11:29:34
898
原创 逻辑漏洞/业务漏洞比较详细的讲解
文章摘要:本文系统梳理了Web应用开发中常见的逻辑漏洞类型及其防护措施,涵盖安装逻辑、交易安全、账户体系、2FA验证、Session管理等核心场景。重点分析了越权访问、验证码绕过、随机数安全等高频漏洞的成因与危害,如修改支付金额、重放攻击、水平/垂直越权等。针对每种漏洞提供了详细的Burp检测方法和修复建议,强调后端校验、输入过滤、权限控制等关键防护点。同时指出开发者需遵守《网络安全法》等法律法规,仅在授权范围内进行安全测试。文章可作为开发人员和安全工程师排查逻辑漏洞的实用指南。
2025-12-16 17:02:57
894
原创 SQLbot漏洞复现总结
1. 应遵守以下中华人民共和国法律法规制定:《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》2. 一定要在授权范围内使用:合法授权测试:仅在获得目标系统所有者明确书面授权的情况下使用。合规安全测试:用于提升系统安全防护能力为目的的渗透测试活动。教育研究目的:在合法教育机构或研究机构内部使用。应急响应:在网络安全事件应急响应中使用。
2025-12-12 17:11:08
205
原创 Web漏洞攻击与防御-SQL注入
SQL注入是常见的Web安全漏洞,攻击者通过构造恶意SQL语句绕过验证或窃取数据。主要分为盲注、报错注入和堆叠注入等类型,检测方法包括参数模糊测试、列数判断和报错注入等。不同数据库有特定检测方式,如MySQL的sleep()函数。防御措施包括参数化查询、输入验证、最小权限原则和WAF部署。自动化工具如SQLMap可帮助检测漏洞,结合安全开发规范能有效降低风险。
2025-12-12 16:43:20
1012
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人