JWT 渗透姿势一篇通 (paper.seebug.org)

【简介】

JWT(JSON Web Token)是一种用于身份认证和授权的开放标准,它通过在网络应用间传递被加密的JSON数据来安全地传输信息使得身份验证和授权变得更加简单和安全,JWT对于渗透测试人员而言可能是一种非常吸引人的攻击途径,因为它们不仅是让你获得无限访问权限的关键而且还被视为隐藏了通往以下特权的途径,例如:特权升级、信息泄露、SQLi、XSS、SSRF、RCE、LFI等

点击查看原文 >>

@技术头条 2023-10-24 23:40 / 0个评论
赞过的人: @IT技术博客大学习
要不要再学学下面的文章?
升级到 Pulsar3.0 后深入了解 JWT 鉴权 (crossoverjie.top)
最近在测试将 Pulsar 2.11.2 升级到 3.0.1的过程中碰到一个鉴权问题,正好借着这个问题充分了解下 Pulsar 的鉴权机制是如何运转的。

Pulsar 支持 Namespace/Topic 级别的鉴权,在生产环境中往往会使用 topic 级别的鉴权,从而防止消息泄露或者其他因为权限管控不严格而导致的问题。
by @技术头条 2023-11-29 23:45 查看详情
JWT 签名算法 HS256、RS256 及 ES256 及密钥生成 (thiscute.world)
JWT 规范的详细说明请见「参考」部分的链接。这里主要说明一下 JWT 最常见的几种签名算法(JWA):HS256(HMAC-SHA256) 、RS256(RSA-SHA256) 还有 ES256(ECDSA-SHA256)。

这三种算法都是一种消息签名算法,得到的都只是一段无法还原的签名。区别在于消息签名与签名验证需要的 「key」不同。
by @技术头条 2023-07-04 23:16 查看详情
使用多线程为你的 Python 爬虫提速的 N 种姿势,你会几种? (blog.yuanpei.me)
和大多数学习 Python 的人一样,博主学习 Python 是从写爬虫开始的,而这个爬虫程序刚好是那种抓取“宅男女神”的程序,下载图片无疑是整个流程里最关键的环节,所以,整个优化的核心,无外乎提升程序的稳定性、提高抓取速度。所以,接下来,我会带大家走近 Python 中的多线程编程,涉及到的概念主要有线程(池)、进程(池)、异步I/O、协程、GIL等,而理解这些概念,对我们而言是非常重要的,因为它将会告诉你选择什么方案更好一点。想让你的爬虫更高效、更快吗?在这里就能找到你的答案。
by @技术头条 2023-07-02 23:27 查看详情
Hilt 使用姿势全解析 (mp.weixin.qq.com)
Hilt是Android的依赖注入库,可以减少在项目中执行手动依赖项注入的样板代码。执行手动依赖项注入需要手动构造每个类及其依赖项,并借助容器重复使用和管理依赖项。
by @code小生 2021-07-05 00:01 查看详情
Python下载的11种姿势,一种比一种高级! (mp.weixin.qq.com)
在本教程中,你将学习如何使用不同的Python模块从web下载文件。此外,你将下载常规文件、web页面、Amazon S3和其他资源。
by @code小生 2021-05-16 16:33 查看详情
Android Jetpack 最佳开发姿势 (mp.weixin.qq.com)
Navigation

NavController在 NavHost 中管理应用导航的对象,沿导航图中的特定路径导航至特定目标,或直接导航至特定目标。
by @code小生 2020-04-28 21:43 查看详情
修复缺陷的正确姿势 (insights.thoughtworks.cn)
下午2点,你喝下了一杯拿铁,它可以保证你在接下来的几个小时内保持清醒。突然,一位QA同事急匆匆的走了过来,从他的表情你就看出来事情不妙。果然,他告诉你SIT环境有个重大缺陷,如果不及时修复,好几个测试流程都不能进行。没错,你在还没有完全搞清楚发生了什么事情,就莫名其妙的突然变成了系统中一个“blocker”。
by @Thoughtworks 2019-11-07 14:33 查看详情
开发函数计算的正确姿势 —— 依赖安装方法一览 (yq.aliyun.com)
函数计算(Function Compute): 函数计算是一个事件驱动的服务,通过函数计算,用户无需管理服务器等运行情况,只需编写代码并上传。函数计算准备计算资源,并以弹性伸缩的方式运行用户代码,而用户只需根据实际代码运行所消耗的资源进行付费。Fun: Fun 是一个用于支持 Serverless 应用部署的工具,能帮助您便捷地管理函数计算、API 网关、日志服务等资源。它通过一个资源配置文件(template.yml),协助您进行开发、构建、部署操作。
by @可耐芊小仙女 2019-09-24 16:36 查看详情
开发函数计算的正确姿势 —— 使用 ROS 进行资源编排 (yq.aliyun.com)
函数计算(Function Compute): 函数计算是一个事件驱动的服务,通过函数计算,用户无需管理服务器等运行情况,只需编写代码并上传。函数计算准备计算资源,并以弹性伸缩的方式运行用户代码,而用户只需根据实际代码运行所消耗的资源进行付费。Fun: Fun 是一个用于支持 Serverless 应用部署的工具,能帮助您便捷地管理函数计算、API 网关、日志服务等资源。它通过一个资源配置文件(template.yml),协助您进行开发、构建、部署操作。ROS: 阿里云资源编排服务(ROS)助您简化云计算资源的管理。您可以遵循ROS定义的模板规范,在模板中定义所需云计算资源的集合及资源间依赖关系。ROS自动完成所有资源的创建和配置,实现自动化部署和运维。
by @可耐芊小仙女 2019-09-24 16:25 查看详情
Web应用托管服务(Web+)隐藏的十个上云最佳姿势 (yq.aliyun.com)
随着云计算浪潮的推进,技术架构云化已经成为大势所趋。特别是最近由CNCF推动的云原生概念,将符合云原生标准的各种开源技术方案推向了前所未有的高度。在这一波浪潮的推动下,越来越多的企业开始了自身的数字化征程,逐步将自己的IT基础设施往云上迁移。Web应用托管服务(Web+) 正是在这一波浪潮下应运而生的黑科技产品——以应用为中心,为应用编排所需的云资源,并将中间件团队支持近千家企业客户上云时遇到各类问题的解决办法,形成一套最佳实践沉淀到这个产品中呈现给大家。这篇文章,就将逐一向大家揭秘隐藏在这个产品背后的十个最佳实践。
by @可耐芊小仙女 2019-08-28 15:40 查看详情