Json Web Token(JWT)攻击指南
最近工作中测试一款客户端 exe 程序,web 框架基于 CEF,认证用的是 jwt。在查阅了大量的国内以及国外文献后,经过大量的代码编写以及测试,写下此篇攻击指南。推荐一个现成的工具:https://github.com/mBouamama/MyJWT可以很负责任的说,目前针对 jwt 攻击测试的
记一次后台ip限制访问403,IP白名单绕过技巧
背景记一次接到客户的一个需求,后台管理地址(https://xxx.xxxx.com)仅允许工作区公网出口访问,对于 IP 的访问限制是否存在缺陷可以绕过,... 背景 记一次接到客户的一个需求,后台管理地址(https://xxx.xxxx.com)仅允许工作区公网出口访问,对于 IP 的访问限制是否
利用微信打造各类监控消息推送
原文地址 saucer-man.com 1. 背景 在日常的工作生活中,经常用到长期后台运行的程序,比如子域名监控,github 监控,各种论坛签到,网站动态监控等等,这些都可以归结为属于定时任务,每天跑一次或者每小时跑一次,这种程序有个痛点就是状态监测,比如今天论坛签到成功了吗?今天 github 发
PyCharm的开源依赖项安全检测插件——Snyk
使用新插件 Snyk 在 PyCharm 中查找和修复 Python 漏洞 Snyk 提供了开发人员优先的开源安全解决方案,现在展示其新的 PyCharm 插件,以帮助 Python 开发人员轻松测试其开源依赖项是否存在安全问题。 很高兴的通知 PyCharm 用户,现在有一个新的 Snyk 插件可用,它使
Mybatis 框架下 SQL 注入攻击的 3 种方式
前言SQL 注入漏洞作为 WEB 安全的最常见的漏洞之一,在 java 中随着预编译与各种 ORM 框架的使用,注入问题也越来越少。新手代码审计者往往对 Java Web 应用的多个框架组合而心生畏惧,不知如何下手,希望通过 Mybatis 框架使用不当导致的 SQL 注入问题为例,能够抛砖引玉给新手一
z
