WEB攻防【4】——JavaWeb项目/JWT身份攻击/组件安全/访问控制

一、知识点

1、Javaweb常见安全及代码逻辑

Javaweb的架构:

如何通过包查找到文件,通过URL对应源码的文件,或者通过源码文件对应URL地址。

2、目录遍历&身份验证&逻辑&JWT

Javaweb里面有身份认证的JWT的技术,python和php里面也出现,java中最多,跟在php中接触到的session和cookie差不多,是新的身份认证的方案。

3、访问控制&安全组件&越权&三方组件

javaweb的除了自身的代码逻辑漏洞,再一个就是第三方组件的漏洞,log4j等。

二、演示案例

1、JavaWeb-WebGoat8靶场搭建使用

WebGoat介绍

WebGoat是OWASP维护的,用于进行WEB漏洞测试和学习的JAVA应用程序。

#环境下载:

GitHub - WebGoat/WebGoat: WebGoat is a deliberately insecure application

下载之后需要JDK环境运行:

安装包:功能封装在jar包里面 需要查看的话就得反编译

#目录遍历:
2、安全问题-目录遍历&身份认证-JWT攻击

接收键名和键值 漏洞点在接收键名对应键值 是正确 但是如果自己构造不存在的键名 由于数据库没有 为null 也会显示正确。

就是看验证代码的逻辑是否正确

JWT 简介

JWT原理及常见攻击方式 - yokan - 博客园 (cnblogs.com)

JWT的全称是Json Web Token。它遵循JSON格式,将用户信息加密到token里,服务器不保存任何用户信息,只保存密钥信息,通过使用特定加密算法验证token,通过token验证用户身份。基于token的身份验证可以替代传统的cookie+session身份验证方法。python和java爱用这个技术

jwt由三个部分组成:header.payload.signature

可以解密 改为ture 但没有那么简单 header里面有加密方式 可以将加密方式设置为空 带三部分签名会涉及一些密匙的东西 不验证密匙的话 改为空加密方式就可行 如果要验证密匙空加密方式就不可行

1、算法改成none 就只有第一段和第二段,none不需要密匙所以没有第三段。

相关工具:c-jwt-cracker (爆破密匙)

知道密匙更改内容

3、安全问题-访问控制&安全组件-第三方组件

#身份认证键值逻辑:

使用键名键值进行对比验证错误

-JWT攻击:1、签名没验证空加密2、爆破密匙 3、KID利用https://www.cnblogs.com/vege/p/14468030.html

#访问控制

隐藏属性:前端页面的自慰限制显示

水平越权:同一级别用户权限的查看

相关推荐
带娃的IT创业者10 小时前
突破算力与安全的边界:深度解析 Mythos AI 的“受信发布”机制与技术影响
人工智能·安全·大语言模型·ai安全·mythos ai·受信发布·ai监管
落寞的星星10 小时前
引言:加密不等于安全
安全
SRET11 小时前
Mineradio 沙盒隔离安装完全指南 | 一键安全运行 Electron 应用!!!
javascript·经验分享·安全·electron·aigc·音视频·ai编程
全栈前端老曹11 小时前
【MongoDB】安全与权限管理 —— 用户认证、角色权限、SSL 加密
前端·javascript·数据库·安全·mongodb·nosql·ssl
星河耀银海11 小时前
大模型安全:对抗攻击与防御方法
人工智能·安全·大模型
广东帝工智能安防11 小时前
智能设防精准预警,筑牢内河桥梁通航安全防护网
安全·桥梁防撞·智慧航道·防撞预警系统
kali-Myon13 小时前
某校园门禁系统高危 SQL 注入漏洞挖掘复盘
数据库·sql·安全·web安全
志栋智能13 小时前
超自动化安全中的威胁狩猎
运维·安全·自动化
梦想的颜色13 小时前
【Docker部署插件】:使用 Docker 部署生产级 Kafka 完整版教程
安全·docker·中间件·kafka·消息队列·docker-compose·后端开发
lularible15 小时前
HSM技术精讲(3.8):证书对象——数字世界的“身份证明“
安全·开源·嵌入式·汽车电子·hsm