2026年3月15日
JWT 算法混淆攻击
摘要: JWT 算法混淆攻击 一、前言 JWT 算法混淆漏洞成因 该漏洞本质是服务端验证逻辑的两个失误: 信任 alg 字段:服务端未强制固定验签算法,而是听从 JWT Header 中的 alg 声明。 密钥上下文混淆:当算法被改为 HS256(对称加密)时,服务端错误地复用 RSA 公钥 作为 HMAC 阅读全文
posted @ 2026-03-15 17:30 CVE-柠檬i 阅读(21) 评论(0) 推荐(0)