Phân Tích Lỗ Hổng JWT và SSTI trong Thử Thách Web Cat Club CTF

Thử thách web này tập trung vào cơ chế xác thực JWT và xử lý mẫu động. Ứng dụng sử dụng thuật toán RS256 để ký token nhưng triển khai xác minh không đầy đủ, tạo điều kiện cho tấn công hạ cấp thuật toán. Cơ chế xác minh JWT không an toàn Đoạn mã xử lý token thiếu kiểm tra thuật toán bắt buộc, chỉ chặn trường hợp "none" mà không yêu cầu bắt buộc ...

Đăng vào ngày 18 tháng 6 lúc 00:40

Phân tích lỗ hổng bảo mật trong hệ thống JFinal CMS

1. Thiết lập môi trường kiểm thử Mã nguồn của dự án JFinal CMS có thể được tải từ các kho lưu trữ sau: GitHub Gitee Dự án yêu cầu JDK 1.8 và MySQL 8. Trước khi chạy, cần tạo cơ sở dữ liệu và nhập file SQL đi kèm. Dự án sử dụng Maven để quản lý phụ thuộc — nên cấu hình lại settings.xml để tăng tốc độ tải thư viện. Sau khi thực thi mvn inst ...

Đăng vào ngày 19 tháng 5 lúc 20:37