一些JWT库也支持none算法,即不使用签名算法。当alg字段为空时,后端将不执行签名验证
开启题目
账号密码随便输,登录之后显示只有 admin 可以获得 flag
在此页面抓包发到 repeater,这里我们需要用到一个 Burp 插件,按图所示,在 Burp 插件商店下载
在 repeater 按图所示修改之后发包,即可得到 flag
CTFHUB | web进阶 | JSON Web Token | 无签名
2025/7/5 22:31:53
来源:https://blog.csdn.net/weixin_68416970/article/details/141395053
浏览:
次
关键词:CTFHUB | web进阶 | JSON Web Token | 无签名
版权声明:
本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。
我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com
)
