实战攻防演练，系统存在jwt 伪造导致可登录后台

Blade 未结

关注举报

 1  944

dp9212 剑圣 2024-08-20 12:44

一、该问题的重现步骤是什么？

1. 通过框架漏洞伪造token登录成功

二、你期待的结果是什么？实际看到的又是什么？

三、你正在使用的是什么产品，什么版本？在什么操作系统上？

Blade微服务 2.8.0

四、请提供详细的错误堆栈信息，这很重要。

五、若有更多详细信息，请在下面提供。

1条回答

admin - BladeX作者

2024-08-20 12:45
2020年6月份之后发布的版本可以配置sign-key来解决，更多安全操作看这里：https://sns.bladex.cn/article-15011.html
```
#blade配置
blade:
  #token配置
  token:
    #token签名
    sign-key: 请配置32位签名，签名格式为字母大小写与数字混合排列，总长度32位以上即可
```
作者追问:2024-08-20 13:27 只需要随机配置32位签名就可以了哇，需不需要做什么操作回答: 2024-08-20 13:36 签名格式为字母大小写与数字混合排列，总长度32位以上即可作者追问:2024-08-21 10:28 加了配置其他服务请求存在未授权
0 讨论(0) 评论: 提交评论加载中...

实战攻防演练，系统存在jwt 伪造导致可登录后台

作者追问:2024-08-20 13:27

回答: 2024-08-20 13:36

作者追问:2024-08-21 10:28