描述:
本项目是一个开源项目,任何用户都能获取到该项目中的硬编码的JWT Secret。同时,使用JWT Secret默认值启动项目时并没有任何警告提示,所以大多数用户可能不会修改此JWT Secret默认值,这可能导致攻击者伪造任意用户的权限令牌,从而绕过认证与授权机制,访问受保护接口。
https://github.com/wejectchen/Ginblog/blob/master/utils/setting.go#L40 https://github.com/wejectchen/Ginblog/blob/master/config/config.ini#L5
影响:
- 攻击者可伪造任意用户的 JWT
- 可冒充管理员或高权限账号访问敏感接口
- 用户身份认证机制失效
- 可能导致数据泄露、越权操作或账户接管
修复:
可以将JWT Secret放入系统环境变量中或者禁止使用默认值启动项目。
描述:
本项目是一个开源项目,任何用户都能获取到该项目中的硬编码的JWT Secret。同时,使用JWT Secret默认值启动项目时并没有任何警告提示,所以大多数用户可能不会修改此JWT Secret默认值,这可能导致攻击者伪造任意用户的权限令牌,从而绕过认证与授权机制,访问受保护接口。
https://github.com/wejectchen/Ginblog/blob/master/utils/setting.go#L40 https://github.com/wejectchen/Ginblog/blob/master/config/config.ini#L5
影响:
修复:
可以将JWT Secret放入系统环境变量中或者禁止使用默认值启动项目。