摘要:
网站后台也进过不少了,但是总是常规的思路:图片上传点、编辑器插件利用、url栏中可见的参数等等。今天拜读Gcow安全团队的公众号找到了两种新的思路: 1、隐藏的参数 有的时候传输参数可能不会那么明显,不会直接显示在url栏,可能就需要我们去burp抓包获取了: 案例:SQL注入漏洞 源代码: SQL 阅读全文
摘要:
什么是JWT? JWT是JSON Web Token的缩写,它是一串带有声明信息的字符串,由服务端使用加密算法对信息签名,以保证其完整性和不可伪造性。Token里可以包含所有必要的信息,这样服务端就无需保存任何关于用户或会话的信息了。JWT可用于身份认证,会话状态维持以及信息交换等任务。 JWT由三 阅读全文