Java安全-Jwt安全及预编译case注入等

Java预编译,绑定参数,减轻SQL注入,并不是对SQL进行注入防御

参数绑定也可以绕过

通过使用case when语句可以将order by 后得orderExpression表达式中添加select语句

requests
1
2
3
4
form string import digits
chars = digits + "."

data1 =

利用 case when 注入 ,前提条件有order by 的使用,预编译直接绕过

啥是JWT Json web Token (JSON WEB 令牌)

是一种跨域验证身份的方案,JWT不加密传输的数据,但能够通过数字签名来验证数据未被篡改。

access token xxxxxx。xxxxxxxxxxxxxxxx。xxxxxxx
header-payload-verify signature
可以直接在jwt.io 中解密

不知道验证令牌密码-》不要慌

解密后,header 设置为none base64编码

payload 中: lat为生效时间
exp为失效时间