24 行
1.2 KiB
Markdown
24 行
1.2 KiB
Markdown
# 认证、会话与 JWT 实验
|
|
|
|
> `LAB ONLY` | `AUTHORIZED TARGETS ONLY`
|
|
|
|
## 范围元数据
|
|
|
|
| 字段 | 内容 |
|
|
|------|------|
|
|
| 适用目标类型 | `lab-local`, `lab-public`, `authorized-third-party` |
|
|
| 是否允许公网验证 | 允许,但必须控制尝试频率和影响面 |
|
|
| 推荐最小化验证 | 使用最小字典、最小请求次数、只验证防护是否存在 |
|
|
| 禁止场景 | 无授权爆破、撞库、批量验证码规避、真实账户接管 |
|
|
|
|
## 当前内容
|
|
|
|
- 暴力破解工具: [web-brute.py](/Users/x/websafe/03-authentication/bruteforce/tools/web-brute.py)
|
|
- JWT 工具: [jwt-cracker.py](/Users/x/websafe/03-authentication/jwt/tools/jwt-cracker.py)
|
|
- 会话边界工具: [session-lab.py](/Users/x/websafe/03-authentication/session/tools/session-lab.py)
|
|
- 会话与 Token 风险案例: [福建案例总结](/Users/x/websafe/06-case-studies/fujian-gov-procurement/lessons-learned.md)
|
|
|
|
## 说明
|
|
|
|
该目录聚焦“验证控制面是否存在”而不是“最大化拿下账户”。对公网授权目标的验证应优先采用小样本、低频和可审计的实验方法,并把浏览器存储、Cookie 属性和会话固定证据回写到 run bundle。
|