网站域名备案在阿里云怎么做wordpress审核教程

网站域名备案在阿里云怎么做,wordpress审核教程,怎么样购买网站空间,wordpress博客免费主题1. 简介 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的#xff0c;特别适用于分布式站点的单点登录#xff08;SSO#xff09;场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户…1. 简介Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的特别适用于分布式站点的单点登录SSO场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息以便于从资源服务器获取资源也可以增加一些额外的其它业务逻辑所必须的声明信息该token也可直接被用于认证也可被加密。2. 构成分为三个部分分别为header/payload/signature。其中header是声明的类型和加密使用的算法。payload是载荷最后是加上HMAC(base64(header)base64(payload), secret)3. 安全问题3.1. Header部分是否支持修改算法为none/对称加密算法删除签名插入错误信息直接在 header 中加入新的公钥kid字段是否有SQL注入/命令注入/目录遍历结合业务功能通过kid直接下载对应公私钥是否强制使用白名单上的加密算法JWKS 劫持JKU (JWK Set URL) / X5U (X.509 URL) 注入在渗透测试中JWTJSON Web Token的Header部分漏洞是现代无状态认证系统中最常见且最致命的高危逻辑弱点之一。即使系统使用了JWTHeader被误配置或未严格校验的情况在微服务、API网关、SaaS、移动端后台、OAuth/OpenID系统中仍高发。Header作为算法声明和扩展参数载体一旦被攻击者操控可直接导致算法降级、签名绕过、密钥泄露、任意用户伪造登录含管理员提权。漏洞类型典型触发方式危害后果修复建议加固方向支持algnone算法将header中alg:none删除签名部分. .提交无需密钥即可伪造任意JWT直接登录任意用户后端明确拒绝algnone 校验签名必须存在且有效算法混淆/降级none或对称原RS256改为HS256公钥当对称密钥或直接改alg为HS256/PS256等用公钥作为对称密钥验证签名伪造任意Token强制白名单算法仅允许预期算法 区分非对称/对称密钥类型删除签名部分保留header和payload签名部分留空或删除.. 或 .绕过签名校验直接使用无签名JWT后端必须严格校验三段结构 签名不能为空且验证通过Header插入错误/恶意信息在header中插入exp超长未来时间、jti重复、iss伪造等干扰字段绕过过期校验、重放攻击、issuer伪造Header只解析白名单字段alg、typ、kid、jku等 其他字段忽略或拒绝直接在header加入新公钥jwkheader中嵌入{jwk:{kty:RSA,n:...,e:...}}声明自己的公钥服务器使用攻击者提供的公钥验证签名 → 伪造任意Token禁止header内嵌jwk 只信任预配置或JWKS端点公钥kid字段注入SQLi/RCE/遍历kid参数指向可控路径如../../../etc/passwd或SQL语句目录遍历读取任意文件、SQL注入、命令注入泄露密钥idkid结合业务下载公私钥kid指向服务器上可下载的密钥文件路径如kid/path/to/private.key直接下载私钥 → 离线伪造任意管理员JWT密钥文件禁止Web访问 kid路径规范化 未授权返回404/403未强制算法白名单支持任意alg如HS256、RS256、ES256随意切换算法降级攻击、混淆攻击成功率极高后端硬编码只接受指定算法if alg not in [RS256] rejectJWKS劫持.well-known误配JWKS端点未防护、缓存投毒、DNS劫持导致加载恶意JWKS服务器加载攻击者控制的JWKS公钥 → 伪造Token固定本地JWKS或可信源 禁止动态jku 证书校验JKU/X5U注入header中jku或x5u指向攻击者控制的URL服务器去该URL拉取公钥或证书服务器加载攻击者公钥/证书 → 伪造任意JWT禁止jku/x5u或严格白名单 SSRF防护 HTTPS证书校验3.1.1JWT Headeralgnone 删除签名最经典直接无签名JWT登录管理员 → 一键接管全站。RS256→HS256混淆 公钥当密钥抓公钥证书 → base64url(n)作为HS256密钥 → 伪造admin JWT。kid路径遍历 私钥泄露kid../../../../app/keys/private.pem → 响应直接返回私钥 → 离线无限签管理员Token。jku注入 自控JWKSjkuhttps://attacker.com/jwks.json → 服务器加载攻击者公钥 → 用对应私钥签任意用户。3.1.2 Burp测试流程抓取任意有效JWT登录、刷新、API请求头Authorization: Bearer用RepeaterJWT Editor插件Burp必备快速测试切换algnone并删除签名RS256→HS256混淆自动用公钥签名添加jwk嵌入自己公钥修改kid为路径遍历payload../../etc/passwd、|whoami|等设置jku/x5u为自控URL用Intruder枚举kid常见路径Payloads常见密钥路径字典/etc/jwt.key、/app/config/private.pem、../keys/id_rsaGrep私钥特征-----BEGIN RSA PRIVATE KEY-----工具辅助jwt.io在线调试本地离线jwt_tool.py2025最新版一键扫描所有Header漏洞3.2. Payload部分其中是否存在敏感信息检查过期策略比如exp,iat在渗透测试中JWTJSON Web Token的Payload部分是承载用户身份、权限、时效等核心声明的地方。Payload设计或校验不严仍是微服务、API网关、移动端认证、OAuth系统中高发漏洞区域。Payload虽不参与签名验证逻辑但一旦泄露敏感信息或时效声明被绕过/伪造可导致隐私大规模泄露、长期有效Token滥用、权限持久化提权等严重后果。漏洞类型典型触发方式危害后果修复建议加固方向Payload中包含敏感信息明文放置手机号、邮箱、身份证、地址、内部ID、权限列表、密钥片段等任意接口泄露用户隐私可用于社工、撞库、精准钓鱼Payload只放必要声明sub、iss、aud、role、jti 敏感信息加密或移到后端Session 脱敏返回过期策略缺失或弱exp无exp声明、exp设置过长如多年、exp可被篡改后仍通过Token长期有效离线持久化登录失窃后长期滥用必须强制设置exp建议15-60分钟 后端严格校验当前时间 exp 结合刷新Token机制签发时间校验缺失iat无iat或不校验iat导致可伪造超旧Token重放旧Token或提前生成的Token可长期使用强制校验iat ≤ 当前时间 宽容漂移≤300秒不活跃过期缺失nbf无nbf或nbf可改成过去时间使Token立即生效提前生成的Token可立即使用如需延迟生效必须设置nbf 严格校验当前时间 ≥ nbfToken唯一性缺失jti无jti或jti不加入黑名单导致已注销/失效Token可重用注销后旧Token仍有效难以真正登出使用jti作为唯一ID Redis/MySQL黑名单 注销时加入 短生命周期权限/角色字段可篡改Payload中role/scope/permissions字段未后端二次校验可任意修改垂直提权普通用户伪造成管理员权限必须后端独立校验Session/DB Payload角色仅作参考或不放iss/aud/sub可篡改绕过发行者iss、受众aud、主体sub未严格校验或可伪造跨域/跨服务Token盗用伪造任意用户sub登录后端硬编码校验iss/aud必须匹配预期 sub绑定不可篡改用户ID自定义声明泄露业务信息自定义字段如balance、vip_level、internal_flag等明文放置泄露用户资产、等级、内部状态便于针对性攻击禁止Payload放置任何业务敏感数据 必要时加密声明3.2.1 JWT Payload敏感信息明文 任意接口泄露Payload里直接放手机号邮箱 → 所有API响应头都带JWT → 一抓包就脱裤全量用户隐私。exp超长/可篡改 无jti黑名单把exp改到2030年 注销后旧Token仍有效 → 离线持久化管理员权限。role字段可改 无后端二次校验普通用户把role改成admin重新签名 → 直接访问全量用户管理接口。sub可篡改 iss/aud弱校验sub改成管理员ID iss改成假值 → 跨服务伪造管理员Token。3.2.2 Burp测试流程抓取任意有效JWT登录返回、刷新Token、任意API Authorization头用Burp自带JWT Editor插件必装或Decoder解码Payload查看所有字段标记敏感信息手机号、权限、余额等检查exp/iat/nbf/jti是否存在及合理性用RepeaterJWT Editor快速篡改测试修改exp为超长未来时间修改roleadmin、sub1、iss/aud为假值添加/删除jti、nbf字段重新签名用原密钥或已知密钥发包观察是否仍被接受并获得对应权限/数据注销测试正常注销后用旧JWT继续访问高权限接口 → 若成功 无jti黑名单或exp弱3.3. Signature部分检查是否强制检查签名密钥是否可以爆破是否可以通过其他方式拿到密钥在渗透测试中JWT Signature签名部分是JWT安全的最后一道防线在实测中被攻破最频繁的致命区域。一旦签名校验缺失、密钥强度弱或密钥泄露攻击者即可离线无限伪造任意用户含管理员JWT直接接管全站或全量API权限。漏洞类型典型触发方式危害后果修复建议完全不校验签名后端未验证签名或直接信任客户端JWT无需任何密钥即可伪造任意Token必须使用库的verify_signature严格校验任何异常直接拒绝签名校验可绕过空签名algnone已测某些旧库在特定条件下跳过签名校验同上伪造任意管理员Token强制三段完整性 签名长度校验 拒绝空签名对称密钥HS256/HS384/HS512强度弱/可爆破密钥为弱密码、业务字段、配置项如secret、123456、myjwtkey字典爆破/彩虹表拿到密钥 → 离线无限签管理员JWT对称密钥必须≥32字节高熵随机256bit 定期轮换 禁止硬编码密钥硬编码在前端/JS文件中密钥直接写在JavaScript、Swagger、Git历史、移动端APK中直接提取密钥 → 伪造任意Token绝不在前端暴露密钥 使用非对称算法RS256/ES256 后端专用密钥服务密钥通过kid/config接口泄露kid指向可遍历路径、调试接口直接返回secret、日志打印密钥直接拿到对称密钥或私钥密钥永不放在Web可访问路径 禁用所有调试端点私钥RS256泄露或弱密钥私钥放在Git、备份文件、调试页面或使用1024位以下弱RSA拿到私钥 → 无限签任意用户JWT使用≥2048位RSA或推荐ES256/P256 私钥必须离线存储 权限600密钥轮换机制缺失导致旧密钥长期有效系统支持历史密钥验证旧密钥未失效泄露的任意历史密钥都可长期使用实现密钥版本轮换 旧密钥只允许刷新新Token不允许直接认证签名算法与密钥类型不匹配仍通过RS256却用对称密钥验证或反过来结合Header混淆攻击直接成功后端严格区分算法与密钥类型RS用公钥HS用对称密钥JWT Signature前端JS硬编码secret最常见全局搜索“HS256”“secret” → 找到密钥 → jwt.io一键签admin → 全站接管。弱密钥8-16位被秒破jwt_tool 10万常用密钥字典 → 3秒出结果 → 离线批量签千万管理员Token。私钥通过kid遍历直接下载kid../../../../app/keys/private.pem → 响应直接返回-----BEGIN RSA PRIVATE KEY----- → 完蛋。不校验签名极隐蔽某些微服务网关只解析Payload不验签 → 改签名成“iloveyou”照样管理员权限。Burp测试流程抓任意有效JWT → 扔进Burp JWT Editor插件自动/手动三连击点“Sign”但故意填错密钥或空 → 发包看是否仍通过改Payload roleadmin → 签名随便填“123”发包切换alg为HS256用常见弱密钥secret、123456、[项目名]jwt重新签名发包用venom一键全扫描推荐命令【额外工具Tscanplus无影、DudeSuite】3.4. 其他重放通过匹配校验的时间做时间攻击修改算法RS256为HS256弱密钥破解漏洞类型典型触发方式危害后果修复建议加固方向JWT重放攻击Replay Attack同一个有效JWT在不同接口、不同会话、注销后仍可重复使用注销失效、跨接口盗用、旧Token长期有效强制使用jti唯一ID Redis黑名单注销/刷新时加入 短exp≤15分钟 绑定设备指纹时间校验弱导致定时攻击Timing Attack后端对exp/iat校验存在时间差异或签名验证过程对密钥猜测有时间侧信道暴力猜密钥、精确预测Token有效窗口使用恒定时间比较算法constant-time 严格时间漂移≤60秒 异常直接拒绝不返回差异RS256→HS256算法混淆重复经典但变种多服务器同时支持RS和HS但公钥与对称密钥存储方式混淆或未区分算法类型用公钥作为HS256对称密钥成功验证伪造Token后端严格区分算法类型RS用RSA公钥HS用secret 强制单一算法白名单 拒绝混淆弱密钥破解综合爆破对称密钥熵低、来源于配置/环境变量、常见密码、项目名拼接等拿到密钥后离线无限伪造任意管理员JWT对称密钥必须≥256bit纯随机 使用密钥管理服务Vault/KMS 禁止任何可预测来源JWT存储不当导致窃取重用前端localStorage/cookie无HttpOnly/Secure/SameSite易被XSS窃取XSS一键偷全站JWT → 持久化接管账号Cookie必须HttpOnly Secure SameSiteStrict/Lax 敏感Token短效刷新机制刷新Token机制弱导致无限续期Refresh Token无jti黑名单、无单点注销、无设备绑定偷到Refresh Token可无限获取新Access TokenRefresh Token同jti黑名单 注销即失效 绑定设备/IP 单独长效但可撤销JWT与Session混合校验不一致部分接口用JWT部分用Session导致可单独使用JWT绕过Session注销注销Session后JWT仍有效单点登录失效统一认证体系 注销时同时失效JWT黑名单或短exp作者申明1. 应遵守以下中华人民共和国法律法规制定《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》2. 一定要在授权范围内使用合法授权测试仅在获得目标系统所有者明确书面授权的情况下使用。合规安全测试用于提升系统安全防护能力为目的的渗透测试活动。教育研究目的在合法教育机构或研究机构内部使用。应急响应在网络安全事件应急响应中使用。