1.跨域验证身份的方案。jwt不加密传输的数据,但是能够通过数字签名来验证的数据是否能够被更改。
jwt分为头部,声明,签名。均用base64加密。
2.攻击 伪造 无密钥,修改alg,删除签名。
爆破 有密钥,对应修改数据后更新加密。
配合 jwt数据中存在参数传递接受处理过程。
3.检测
Javaweb
authorization
数据包数据格式
Java安全目录遍历访问控制xss等安全问题
1.本次直播注重代码分析,收悉javaweb开发结构,掌握javaweb代码审计流程,其次才是相关漏洞解释。
学会分析相关代码路径,结构,框架。
2.前端验证在.html .js 中去寻找。
查看项目源码工具:Intellij
一键提取源码工具:漏了个大洞
反编译apk工具:一键反编译apk