登录绕过漏洞

Question

renqabs opened this issue 7 months ago · comments

jwt计算使用到的信息都是已知的，可伪造一个jwt，绕过用户名和密码，直接登录系统（不演示了，免得被人利用），建议使用密码或密码变种（MD5等）做为jwt计算的密钥，而非硬编码

rohit · Answer 1 · Wed Dec 06 2023 09:34:39 GMT+0800 (China Standard Time)

看来上plus号使用还得再等等

Clivia · Answer 2 · Wed Dec 06 2023 13:01:53 GMT+0800 (China Standard Time)

小白还真没注意到这一点，我已修改，长知识了哈哈哈哈哈哈，感谢提醒，顺便再找找别的bug，让项目更好👍👍👍

Clivia · Answer 3 · Thu Dec 07 2023 01:09:30 GMT+0800 (China Standard Time)

更新到最新4.7.1,已更新硬编码，给大家造成了损失，对不起