发表新帖
发表新帖

SpringBlade框架JWT认证缺陷漏洞 SIGN_KEY

Blade 已结
关注 举报
1 1550
weide
weide 剑童 2022-04-15 16:09

一、该问题的重现步骤是什么?

1. image.png

2. 奇安信攻防社区-SpringBlade框架JWT认证缺陷漏洞 (butian.net)

3.


二、你期待的结果是什么?实际看到的又是什么?

当前的tool版本为2.8.1,是否存在相关漏洞?

该漏洞的影响范围又是什么;

三、你正在使用的是什么产品,什么版本?在什么操作系统上?

bladex-boot版本

四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。

1条回答
  • admin
    admin (最佳回答者)
    2022-04-15 19:49

    因为这个前提是源码能被攻击者完全看到,在这个大前提下如果不修改SIGN_KEY,用默认的,的确会被伪造。

    但你拉到最下面的结论其实已经能看到了,他们给的修复方案,就是修改SIGN_KEY的值,让攻击者无法伪造token。

    这个性质就相当于我在防盗门上贴了个纸条,纸条上写着门的密码,攻击者根据密码打开防盗门后进入家门,不代表防盗门没用。解决办法就是把纸条撕掉(自行修改SIGN_KEY)

    image.png

    1 讨论(1)
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
热议问题
4.1.0升级版本4.2.0版本升级问题 2
新增按钮,查看按钮,修改按钮都不显示 1
mysql 查出来的数据在控制台打印,这个在哪里可以关 1
Property "vaildData" was accessed during 前端报错 2
node-red里数据读取不完整 2
OSS如何设置文件上传的大小 1
blade-swagger 自动服务发现 1
feign远程调用空对象问题 1
如何增加配置文件 spring.profiles.active支持 2
swagger 无法关闭 2
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2024 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号