记录一次JWT的越权渗透测试 原文约2400字,阅读约需6分钟。发表于:2023-07-04T10:03:34Z。 简单介绍: 在一次某行动暂停之后,某单位重新对自身的业务进行了评估,系统业务使用SSO进行登录,而这个SSO登 […] 在重新评估业务后发现SSO登录和JWT认证存在漏洞,包括未校验签名、禁用hash和爆破弱秘钥。修复建议包括恢复authorizationToken并校验用户信息。渗透测试时应仔细观察每个包的记录。 JWT认证 SSO登录 修复建议 渗透测试 漏洞