一、该问题的重现步骤是什么?
1.
2. 奇安信攻防社区-SpringBlade框架JWT认证缺陷漏洞 (butian.net)
3.
二、你期待的结果是什么?实际看到的又是什么?
当前的tool版本为2.8.1,是否存在相关漏洞?
该漏洞的影响范围又是什么;
三、你正在使用的是什么产品,什么版本?在什么操作系统上?
bladex-boot版本
四、请提供详细的错误堆栈信息,这很重要。
五、若有更多详细信息,请在下面提供。
因为这个前提是源码能被攻击者完全看到,在这个大前提下如果不修改SIGN_KEY,用默认的,的确会被伪造。
但你拉到最下面的结论其实已经能看到了,他们给的修复方案,就是修改SIGN_KEY的值,让攻击者无法伪造token。
这个性质就相当于我在防盗门上贴了个纸条,纸条上写着门的密码,攻击者根据密码打开防盗门后进入家门,不代表防盗门没用。解决办法就是把纸条撕掉(自行修改SIGN_KEY)
扫一扫访问 Blade技术社区 移动端
加载中...
苏公网安备 32041102000998号