JWT安全WebGoat实战与预编译CASE注入

目录

（一）什么是预编译

1、如何绕过

BP抓包看响应报文里面有没有用到order by

（二）JWT安全

1、什么是JWT

 头部

声明

签名

2、javaweb-身份验证攻击-JWT修改伪造攻击

案例分析：

 3、javaweb-身份验证攻击-JWT密匙爆破攻击

0x01、 先进去看看描述

0x02、把它给我们的令牌进行解密

0x03、找到密匙

0x04、重新签名

 0x05 总结

4、javaweb-身份验证攻击-JWT修改伪造冒充

前置知识：

0x01、进入靶场

0x02、打开日志

思路：

0x03、 拿到refresh token

 0x04 刷新Token

 0x05 拿到刷新后的access_token 结账

0x06 总结

5、javaweb-身份验证攻击-JWT安全结合SQL注入

0x01 先用BP抓到Tom下方的Delete数据包

参考：Java代码审计入门：WebGoat8（再会） - FreeBuf网络安全行业门户

---

        由于笔者个人水平有限，行文如有不当，还请各位师傅评论指正，非常感谢

（一）什么是预编译

---

JDBC编程之预编译SQL与防注入 - 加了冰的才叫可乐 - 博客园

        在博客园找了篇不错的文章，当然也可以看看我之前整理的文章，我先简单进行总结SQL Injection 防御——预编译__Cyber的博客-CSDN博客

1