文章目录 前言一、思路 前言 记一次由JWT导致的绕过权限,以下相关链接均为随意编造的。 一、思路 1)使用弱口令账号密码登录了系统。 2)访问URL:https:/xxxxx:8888/aaaa/bbbb/cccc/list?ids=418,会提示访问权限不足。 3)抓包后发现是JWT的token认证。 4)添加Authorization: Bearer 并把token中的内容粘贴复制,即可绕过。