泄露账号的风险

Blade 未结 1 441
yinhaibo
yinhaibo 剑圣 2025-02-26 10:54

一、该问题的重现步骤是什么?

版本

2.9.1.RELEASE

1. 在使用的sign-key自定义配置值后,扫描存在token漏洞

2. image.png


漏洞名称:

Token敏感信息泄露

漏洞验证:

登录后抓取数据包,对Token解密后发现存在用户相关信息:

image.png

问题影响:

Token中存在用户相关信息,将可能导致相关信息泄露,并以此被攻击者进一步利用。

加固建议:

修改JWT生成配置,将涉及用户信息相关变量或参数内容去除,使其不包含用户相关信息。


Jwt用户信息在框架中是要使用的吧,比如AuthUtil.getUser(),请问下这个漏洞该如何修复呢

1条回答
提交回复