过滤后
不认证用户的fullname后
通过修改文件名绕过
关于JWT相关参考资料:https://www.cnblogs.com/vege/p/14468030.html
键值逻辑
只是单纯地将用户提交的问题和答案与数据库中对应的问题和答案相比对,则可修改问题参数为数据库中没有答案的问题,然后不写答案,认证通过。
JWT之空加密算法
支持空加密算法,则可通过修改jwttoken中alg部分为none绕过签名验证,伪造admin身份
JWT之密钥暴破
填入暴破出的密钥,修改用户名修改截止日期,伪造token通过认证
JWT之kid攻击 安全组件:引用了哪些,对应版本漏洞
