发表新帖

发表新帖

实战攻防演练，系统存在jwt 伪造导致可登录后台

Blade 未结

关注

 1  1366

dp9212 2024-08-20 12:44

一、该问题的重现步骤是什么？

1. 通过框架漏洞伪造token登录成功

2.

3.

二、你期待的结果是什么？实际看到的又是什么？

三、你正在使用的是什么产品，什么版本？在什么操作系统上？

Blade微服务 2.8.0

四、请提供详细的错误堆栈信息，这很重要。

五、若有更多详细信息，请在下面提供。

1条回答

admin (楼主)

2024-08-20 12:45
2020年6月份之后发布的版本可以配置sign-key来解决，更多安全操作看这里：https://sns.bladex.cn/article-15011.html
```
#blade配置
blade:
  #token配置
  token:
    #token签名
    sign-key: 请配置32位签名，签名格式为字母大小写与数字混合排列，总长度32位以上即可
```
作者追问:2024-08-20 12:45

只需要随机配置32位签名就可以了哇，需不需要做什么操作

回答: 2024-08-20 12:45

签名格式为字母大小写与数字混合排列，总长度32位以上即可

作者追问:2024-08-20 12:45

加了配置其他服务请求存在未授权
0 讨论(0)
发布评论:

提交评论
- 加载中...

热议问题: 使用apikey模式，如何移除请求header中的blade-requested-with，并且将Blade-Auth更名成其他的key 1; 日志系统使用问题 1; 两个数据权限，一个生效，一个不生效 1; 如何修改头像默认值，管理员头像默认值 1; 头像修改问题 1; mqtt客户端mqtt监控页面访问，出现[/proxy/blade-broker/mqtt/monitor] 404 NOT_FOUND 1; 使用sqlserver数据库，mybatis报错 1; nodered流程报错 1; 国产化改造，bladex商业版哪个版本支持？ 1; TokenInterceptor拦截 1

官方产品

BladeX 企业级开发平台 BladeX 可视化数据大屏

官方新品

BladeX 大模型开发平台 BladeX 物联网开发平台

扫一扫访问 Blade技术社区移动端