论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
Web安全
[955] 2019-12-11_JWT攻击手册:如何入侵你的Token
文档创建者:
s7ckTeam
浏览次数:
6
最后更新:
2025-01-16
Web安全
6 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-56
6万
主题
-6万
回帖
-56
积分
管理员
积分
-56
发消息
2019-12-11_JWT攻击手册:如何入侵你的Token
J
W
T
攻
击
手
册
:
如
何
入
侵
你
的
T
o
k
e
n
原
创
B
y
p
a
s
s
B
y
p
a
s
s
2
0
1
9
-
1
2
-
1
1
J
S
O
N
W
e
b
T
o
k
e
n
(
J
W
T
)
对
于
渗
透
测
试
人
员
而
言
,
可
能
是
一
个
非
常
吸
引
人
的
攻
击
途
径
。
因
为
它
不
仅
可
以
让
你
伪
造
任
意
用
户
获
得
无
限
的
访
问
权
限
,
而
且
还
可
能
进
一
步
发
现
更
多
的
安
全
漏
洞
,
如
信
息
泄
露
,
越
权
访
问
,
S
Q
L
i
,
X
S
S
,
S
S
R
F
,
R
C
E
,
L
F
I
等
。
首
先
我
们
需
要
识
别
应
用
程
序
正
在
使
用
J
W
T
,
最
简
单
的
方
法
是
在
代
理
工
具
的
历
史
记
录
中
搜
索
J
W
T
正
则
表
达
式
:
确
保
选
中
“
区
分
大
小
写
”
和
“
正
则
表
达
式
”
选
项
:
当
你
获
得
一
个
J
S
O
N
w
e
b
t
o
k
e
n
,
如
何
利
用
它
们
绕
过
访
问
控
制
并
入
侵
系
统
呢
?
1
、
敏
感
信
息
泄
露
由
于
H
e
a
d
e
r
和
P
a
y
l
o
a
d
部
分
是
使
用
可
逆
b
a
s
e
6
4
方
法
编
码
的
,
因
此
任
何
能
够
看
到
令
牌
的
人
都
可
以
读
取
数
据
。
要
读
取
内
容
,
您
只
需
要
将
每
个
部
分
传
递
给
b
a
s
e
6
4
解
码
函
数
,
以
下
是
一
些
示
例
:
L
i
n
u
x
b
a
s
e
6
4
工
具
(
带
有
工
具
(
带
有
-
d
标
志
用
于
解
码
)
:
标
志
用
于
解
码
)
:
浏
览
器
浏
览
器
J
a
v
a
S
c
r
i
p
t
控
制
台
:
控
制
台
:
P
o
w
e
r
s
h
e
l
l
:
P
y
h
t
o
n
:
我
曾
在
一
篇
博
文
中
,
不
小
心
公
布
了
有
漏
洞
指
向
站
点
的
T
o
k
e
n
,
分
分
钟
被
找
到
了
漏
洞
站
点
。
因
此
,
T
o
k
e
n
不
能
随
意
公
布
,
发
送
的
数
据
不
得
包
含
任
何
敏
感
数
据
(
例
如
密
码
)
。
2
、
将
算
法
修
改
为
n
o
n
e
J
W
T
支
持
将
算
法
设
定
为
“
N
o
n
e
”
。
如
果
“
a
l
g
”
字
段
设
为
“
N
o
n
e
”
,
那
么
签
名
会
被
置
空
,
这
样
任
何
t
o
k
e
n
都
是
有
效
的
。
设
定
该
功
能
的
最
初
目
的
是
为
了
方
便
调
试
。
但
是
,
若
不
在
生
产
环
境
中
关
闭
该
功
能
,
攻
击
者
可
以
通
过
将
a
l
g
字
段
设
置
为
“
N
o
n
e
”
来
伪
造
他
们
想
要
的
任
何
t
o
k
e
n
,
接
着
便
可
以
使
用
伪
造
的
t
o
k
e
n
冒
充
任
意
用
户
登
陆
网
站
。
示
例
:
[
=
]
e
y
[
A
-
Z
a
-
z
0
-
9
_
-
]
*
.
[
A
-
Z
a
-
z
0
-
9
.
_
-
]
*
-
稳
定
的
J
W
T
版
本
[
=
]
e
y
[
A
-
Z
a
-
z
0
-
9
_
/
+
-
]
*
.
[
A
-
Z
a
-
z
0
-
9
.
_
/
+
-
]
*
-
所
有
J
W
T
版
本
(
可
能
误
报
)
$
e
c
h
o
e
y
J
0
e
X
A
i
O
i
J
K
V
1
Q
i
L
C
J
h
b
G
c
i
O
i
J
I
U
z
I
1
N
i
J
9
|
b
a
s
e
6
4
-
d
{
"
t
y
p
"
:
"
J
W
T
"
,
"
a
l
g
"
:
"
H
S
2
5
6
"
}
>
>
a
t
o
b
(
"
e
y
J
0
e
X
A
i
O
i
J
K
V
1
Q
i
L
C
J
h
b
G
c
i
O
i
J
I
U
z
I
1
N
i
J
9
"
)
"
{
"
t
y
p
"
:
"
J
W
T
"
,
"
a
l
g
"
:
"
H
S
2
5
6
"
}
"
P
S
C
:
>
[
S
y
s
t
e
m
.
T
e
x
t
.
E
n
c
o
d
i
n
g
]
:
:
U
T
F
8
.
G
e
t
S
t
r
i
n
g
(
[
S
y
s
t
e
m
.
C
o
n
v
e
r
t
]
:
:
F
r
o
m
B
a
s
e
6
4
S
t
r
i
n
g
(
"
e
y
J
0
e
X
A
i
O
i
J
K
V
1
Q
i
L
C
J
h
b
G
c
i
O
i
J
I
U
z
I
1
N
i
J
9
"
)
)
{
"
t
y
p
"
:
"
J
W
T
"
,
"
a
l
g
"
:
"
H
S
2
5
6
"
}
>
>
>
i
m
p
o
r
t
b
a
s
e
6
4
>
>
>
p
r
i
n
t
(
b
a
s
e
6
4
.
b
6
4
d
e
c
o
d
e
(
'
e
y
J
0
e
X
A
i
O
i
J
K
V
1
Q
i
L
C
J
h
b
G
c
i
O
i
J
I
U
z
I
1
N
i
J
9
'
)
)
{
"
t
y
p
"
:
"
J
W
T
"
,
"
a
l
g
"
:
"
H
S
2
5
6
"
}
设
置
“
a
l
g
”
:
“
n
o
n
e
”
不
带
签
名
,
生
成
T
o
k
e
n
:
解
构
:
页
面
是
否
仍
然
返
回
有
效
?
如
果
页
面
返
回
有
效
,
那
么
说
明
存
在
漏
洞
。
如
何
抵
御
这
种
攻
击
?
J
W
T
配
置
应
该
指
定
所
需
的
签
名
算
法
,
不
要
指
定
”
n
o
n
e
”
。
3
、
密
钥
混
淆
攻
击
J
W
T
最
常
用
的
两
种
算
法
是
H
M
A
C
和
R
S
A
。
H
M
A
C
(
对
称
加
密
算
法
)
用
同
一
个
密
钥
对
t
o
k
e
n
进
行
签
名
和
认
证
。
而
R
S
A
(
非
对
称
加
密
算
法
)
需
要
两
个
密
钥
,
先
用
私
钥
加
密
生
成
J
W
T
,
然
后
使
用
其
对
应
的
公
钥
来
解
密
验
证
。
如
果
将
算
法
R
S
2
5
6
修
改
为
H
S
2
5
6
(
非
对
称
密
码
算
法
=
>
对
称
密
码
算
法
)
?
那
么
,
后
端
代
码
会
使
用
公
钥
作
为
秘
密
密
钥
,
然
后
使
用
H
S
2
5
6
算
法
验
证
签
名
。
由
于
公
钥
有
时
可
以
被
攻
击
者
获
取
到
,
所
以
攻
击
者
可
以
修
改
h
e
a
d
e
r
中
算
法
为
H
S
2
5
6
,
然
后
使
用
R
S
A
公
钥
对
数
据
进
行
签
名
。
示
例
:
解
构
:
后
端
代
码
会
使
用
R
S
A
公
钥
+
H
S
2
5
6
算
法
进
行
签
名
验
证
。
如
何
抵
御
这
种
攻
击
?
J
W
T
配
置
应
该
只
允
许
使
用
H
M
A
C
算
法
或
公
钥
算
法
,
决
不
能
同
时
使
用
这
两
种
算
法
。
4
、
无
效
签
名
当
用
户
端
提
交
请
求
给
应
用
程
序
,
服
务
端
可
能
没
有
对
t
o
k
e
n
签
名
进
行
校
验
,
这
样
,
攻
击
者
便
可
以
通
过
提
供
无
效
签
名
简
单
地
绕
过
安
全
机
制
。
示
例
:
一
个
很
好
的
例
子
是
网
站
上
的
“
个
人
资
料
”
页
面
,
因
为
我
们
只
有
在
被
授
权
通
过
有
效
的
J
W
T
进
行
访
问
时
才
能
访
问
此
页
面
,
我
们
将
重
放
请
求
并
寻
找
响
应
的
变
化
以
发
现
问
题
。
u
s
e
r
字
段
改
为
a
d
m
i
n
,
重
新
生
成
新
t
o
k
e
n
:
解
构
:
将
重
新
生
成
的
T
o
k
e
n
发
给
服
务
端
效
验
,
如
访
问
页
面
正
常
,
则
说
明
漏
洞
存
在
。
5
、
暴
力
破
解
密
钥
H
M
A
C
签
名
密
钥
(
例
如
H
S
2
5
6
/
H
S
3
8
4
/
H
S
5
1
2
)
使
用
对
称
加
密
,
这
意
味
着
对
令
牌
进
行
签
名
的
密
钥
也
用
于
对
其
进
行
验
证
。
由
于
签
名
验
证
是
一
个
自
包
含
的
过
程
,
因
此
可
以
测
试
令
牌
本
身
的
有
效
密
钥
,
e
y
J
h
b
G
c
i
O
i
J
I
U
z
I
1
N
i
I
s
I
n
R
5
c
C
I
6
I
k
p
X
V
C
J
9
.
e
y
J
1
c
2
V
y
I
j
o
i
Y
W
R
t
a
W
4
i
L
C
J
h
Y
3
R
p
b
2
4
i
O
i
J
1
c
G
x
v
Y
W
Q
i
f
Q
.
y
2
k
9
S
J
D
R
U
8
1
y
b
X
m
-
a
n
x
p
D
2
p
1
N
-
r
K
e
k
D
J
t
J
G
K
G
J
l
e
m
j
Y
e
y
J
h
b
G
c
i
O
i
J
u
b
2
5
l
I
i
w
i
d
H
l
w
I
j
o
i
S
l
d
U
I
n
0
.
e
y
J
1
c
2
V
y
I
j
o
i
Y
W
R
t
a
W
4
i
L
C
J
h
Y
3
R
p
b
2
4
i
O
i
J
1
c
G
x
v
Y
W
Q
i
f
Q
.
{
"
t
y
p
"
:
"
J
W
T
"
,
"
a
l
g
"
:
"
n
o
n
e
"
}
.
{
"
u
s
e
r
"
:
"
a
d
m
i
n
"
,
"
a
c
t
i
o
n
"
:
"
u
p
l
o
a
d
"
}
.
[
N
o
s
i
g
n
a
t
u
r
e
!
]
e
y
J
0
e
X
A
i
O
i
J
K
V
1
Q
i
L
C
J
h
b
G
c
i
O
i
J
I
U
z
I
1
N
i
J
9
.
e
y
J
s
b
2
d
p
b
i
I
6
I
n
R
p
Y
2
F
y
c
G
k
i
f
Q
.
I
3
G
9
a
R
H
f
u
n
X
l
Z
V
2
l
y
J
v
W
k
Z
O
0
I
_
A
_
O
i
a
A
A
Q
a
k
U
_
k
j
k
J
M
{
"
t
y
p
"
:
"
J
W
T
"
,
"
a
l
g
"
:
"
H
S
2
5
6
"
}
.
{
"
l
o
g
i
n
"
:
"
t
i
c
a
r
p
i
"
}
.
[
使
用
H
S
2
5
6
签
名
,
使
用
R
S
A
公
钥
文
件
作
为
密
钥
验
证
。
]
e
y
J
0
e
X
A
i
O
i
J
K
V
1
Q
i
L
C
J
h
b
G
c
i
O
i
J
I
U
z
I
1
N
i
J
9
.
e
y
J
1
c
2
V
y
I
j
o
i
d
G
V
z
d
C
I
s
I
m
F
j
d
G
l
v
b
i
I
6
I
n
B
y
b
2
Z
p
b
G
U
i
f
Q
.
F
j
n
A
v
Q
x
z
R
K
c
a
h
l
w
2
E
P
d
9
o
7
t
e
q
X
-
f
Q
S
t
7
M
Z
h
T
8
4
h
j
7
m
U
e
y
J
0
e
X
A
i
O
i
J
K
V
1
Q
i
L
C
J
h
b
G
c
i
O
i
J
I
U
z
I
1
N
i
J
9
.
e
y
J
1
c
2
V
y
I
j
o
i
Y
W
R
t
a
W
4
i
L
C
J
h
Y
3
R
p
b
2
4
i
O
i
J
w
c
m
9
m
a
W
x
l
I
n
0
.
_
L
R
R
X
A
f
X
t
n
a
g
d
y
B
1
u
R
k
-
7
C
f
k
K
1
R
E
S
G
w
x
q
Q
C
d
w
C
N
S
P
a
I
{
"
t
y
p
"
:
"
J
W
T
"
,
"
a
l
g
"
:
"
H
S
2
5
6
"
}
.
{
"
u
s
e
r
"
:
"
a
d
m
i
n
"
,
"
a
c
t
i
o
n
"
:
"
p
r
o
f
i
l
e
"
}
.
[
新
的
签
名
]
而
不
必
将
其
发
送
回
应
用
程
序
进
行
验
证
。
因
此
,
H
M
A
C
J
W
T
破
解
是
离
线
的
,
通
过
J
W
T
破
解
工
具
,
可
以
快
速
检
查
已
知
的
泄
漏
密
码
列
表
或
默
认
密
码
。
获
得
密
钥
,
伪
造
任
意
用
户
的
T
o
k
e
n
:
如
果
可
以
破
解
H
M
A
C
密
钥
,
则
可
以
伪
造
令
牌
中
的
任
何
内
容
,
这
个
漏
洞
将
会
给
系
统
带
来
非
常
严
重
的
后
果
。
6
、
密
钥
泄
露
假
设
攻
击
者
无
法
暴
力
破
解
密
钥
,
那
么
他
可
能
通
过
其
他
途
径
获
取
密
码
,
如
g
i
t
信
息
泄
露
、
目
录
遍
历
,
任
意
文
件
读
取
、
X
X
E
漏
洞
等
,
从
而
伪
造
任
意
t
o
k
e
n
签
名
。
7
、
操
纵
K
I
D
K
I
D
代
表
“
密
钥
序
号
”
(
K
e
y
I
D
)
。
它
是
J
W
T
头
部
的
一
个
可
选
字
段
,
开
发
人
员
可
以
用
它
标
识
认
证
t
o
k
e
n
的
某
一
密
钥
。
K
I
D
参
数
的
正
确
用
法
如
下
所
示
:
由
于
此
字
段
是
由
用
户
控
制
的
,
因
此
攻
击
者
可
能
会
操
纵
它
并
导
致
危
险
的
后
果
。
目
录
遍
历
目
录
遍
历
由
于
K
I
D
通
常
用
于
从
文
件
系
统
中
检
索
密
钥
文
件
,
因
此
,
如
果
在
使
用
前
不
清
理
K
I
D
,
文
件
系
统
可
能
会
遭
到
目
录
遍
历
攻
击
。
这
样
,
攻
击
者
便
能
够
在
文
件
系
统
中
指
定
任
意
文
件
作
为
认
证
的
密
钥
。
例
如
,
攻
击
者
可
以
强
行
设
定
应
用
程
序
使
用
公
开
可
用
文
件
作
为
密
钥
,
并
用
该
文
件
给
H
M
A
C
加
密
的
t
o
k
e
n
签
名
。
p
y
t
h
o
n
j
w
t
_
t
o
o
l
.
p
y
e
y
J
0
e
X
A
i
O
i
J
K
V
1
Q
i
L
C
J
h
b
G
c
i
O
i
J
I
U
z
I
1
N
i
J
9
.
e
y
J
1
c
2
V
y
I
j
o
i
Y
W
R
t
a
W
4
i
L
C
J
h
Y
3
R
p
b
2
4
i
O
i
J
1
c
G
x
v
Y
W
Q
i
f
Q
.
7
Z
b
w
d
Z
X
w
f
j
m
5
7
5
f
H
G
u
k
k
E
0
9
O
8
-
e
F
Y
4
b
x
-
f
E
E
B
U
K
3
X
U
E
-
C
-
d
1
.
t
x
t
{
"
a
l
g
"
:
"
H
S
2
5
6
"
,
"
t
y
p
"
:
"
J
W
T
"
,
"
k
i
d
"
:
"
1
"
/
/
使
用
密
钥
1
验
证
t
o
k
e
n
}
"
k
i
d
"
:
"
.
.
/
.
.
/
p
u
b
l
i
c
/
c
s
s
/
m
a
i
n
.
c
s
s
"
/
/
使
用
公
共
文
件
m
a
i
n
.
c
s
s
验
证
t
o
k
e
n
S
Q
L
注
入
注
入
K
I
D
也
可
以
用
于
在
数
据
库
中
检
索
密
钥
。
在
该
情
况
下
,
攻
击
者
很
可
能
会
利
用
S
Q
L
注
入
来
绕
过
J
W
T
安
全
机
制
。
如
果
可
以
在
K
I
D
参
数
上
进
行
S
Q
L
注
入
,
攻
击
者
便
能
使
用
该
注
入
返
回
任
意
值
。
上
面
这
个
注
入
会
导
致
应
用
程
序
返
回
字
符
串
“
k
e
y
”
(
因
为
数
据
库
中
不
存
在
名
为
“
a
a
a
a
a
a
a
”
的
密
钥
)
。
然
后
使
用
字
符
串
“
k
e
y
”
作
为
密
钥
来
认
证
t
o
k
e
n
。
命
令
注
入
命
令
注
入
有
时
,
将
K
I
D
参
数
直
接
传
到
不
安
全
的
文
件
读
取
操
作
可
能
会
让
一
些
命
令
注
入
代
码
流
中
。
一
些
函
数
就
能
给
此
类
型
攻
击
可
乘
之
机
,
比
如
R
u
b
y
o
p
e
n
(
)
。
攻
击
者
只
需
在
输
入
的
K
I
D
文
件
名
后
面
添
加
命
令
,
即
可
执
行
系
统
命
令
:
类
似
情
况
还
有
很
多
,
这
只
是
其
中
一
个
例
子
。
理
论
上
,
每
当
应
用
程
序
将
未
审
查
的
头
部
文
件
参
数
传
递
给
类
似
s
y
s
t
e
m
(
)
,
e
x
e
c
(
)
的
函
数
时
,
都
会
产
生
此
种
漏
洞
。
8
、
操
纵
头
部
参
数
除
K
I
D
外
,
J
W
T
标
准
还
能
让
开
发
人
员
通
过
U
R
L
指
定
密
钥
。
J
K
U
头
部
参
数
头
部
参
数
J
K
U
全
称
是
“
J
W
K
S
e
t
U
R
L
”
,
它
是
头
部
的
一
个
可
选
字
段
,
用
于
指
定
链
接
到
一
组
加
密
t
o
k
e
n
密
钥
的
U
R
L
。
若
允
许
使
用
该
字
段
且
不
设
置
限
定
条
件
,
攻
击
者
就
能
托
管
自
己
的
密
钥
文
件
,
并
指
定
应
用
程
序
,
用
它
来
认
证
t
o
k
e
n
。
J
W
K
头
部
参
数
头
部
参
数
头
部
可
选
参
数
J
W
K
(
J
S
O
N
W
e
b
K
e
y
)
使
得
攻
击
者
能
将
认
证
的
密
钥
直
接
嵌
入
t
o
k
e
n
中
。
操
纵
操
纵
X
5
U
,
,
X
5
C
U
R
L
同
J
K
U
或
J
W
K
头
部
类
似
,
x
5
u
和
和
x
5
c
头
部
参
数
允
许
攻
击
者
用
于
验
证
T
o
k
e
n
的
公
钥
证
书
或
证
书
链
。
x
5
u
以
U
R
I
形
式
指
定
信
息
,
而
x
5
c
允
许
将
证
书
值
嵌
入
t
o
k
e
n
中
。
攻
击
T
o
k
e
n
的
过
程
显
然
取
决
于
你
所
测
试
的
J
W
T
配
置
和
实
现
的
情
况
,
但
是
在
测
试
J
W
T
时
,
通
过
对
目
标
服
务
的
W
e
b
请
求
中
使
用
的
T
o
k
e
n
进
行
读
取
、
篡
改
和
签
名
,
可
能
遇
到
已
知
的
攻
击
方
式
以
及
潜
在
的
安
全
漏
洞
和
配
置
错
误
,
希
望
本
文
可
以
帮
助
你
发
现
安
全
威
胁
!
参
考
资
料
:
h
t
t
p
s
:
/
/
g
i
t
h
u
b
.
c
o
m
/
t
i
c
a
r
p
i
/
j
w
t
_
t
o
o
l
/
w
i
k
i
h
t
t
p
s
:
/
/
m
e
d
i
u
m
.
c
o
m
/
s
w
l
h
/
h
a
c
k
i
n
g
-
j
s
o
n
-
w
e
b
-
t
o
k
e
n
s
-
j
w
t
s
-
9
1
2
2
e
f
e
9
1
e
4
a
"
k
i
d
"
:
"
a
a
a
a
a
a
a
'
U
N
I
O
N
S
E
L
E
C
T
'
k
e
y
'
;
-
-
"
/
/
使
用
字
符
串
"
k
e
y
"
验
证
t
o
k
e
n
"
k
e
y
_
f
i
l
e
"
|
w
h
o
a
m
i
;
j
k
u
U
R
L
-
>
包
含
J
W
K
集
的
文
件
-
>
用
于
验
证
令
牌
的
J
W
K
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
Web安全