哪吒探针事件再议JWT
哪吒探针因为路径遍历漏洞已经闹得沸沸扬扬了,漏洞的核心是jwt密钥被人通过http://xxx/dashboard../data/config.yaml方式获得。 jwt本身不是安全问题,不过仅说这次事件,其实不用jwt起码同样漏洞情况下攻击门槛高得多。
我一直极端鄙视jwt,我认为它就是一个典型的java传来的又臭又长的过度设计。以前我已经发过博文说过这事了,今天我就不再说了,借gpt口来表达吧。
- 上一篇: 我就是头铁
- 下一篇: 没有了
哪吒探针因为路径遍历漏洞已经闹得沸沸扬扬了,漏洞的核心是jwt密钥被人通过http://xxx/dashboard../data/config.yaml方式获得。 jwt本身不是安全问题,不过仅说这次事件,其实不用jwt起码同样漏洞情况下攻击门槛高得多。
我一直极端鄙视jwt,我认为它就是一个典型的java传来的又臭又长的过度设计。以前我已经发过博文说过这事了,今天我就不再说了,借gpt口来表达吧。
暂无评论