摘要： Session固定攻击 登录test账号，给admin发送消息 回到主页发现用户名变成了admin，获得了flag JWT令牌伪造 先随便输入一个用户名，获得jwt token JWT伪造网站 JSON Web Tokens - jwt.io 由于没有校验签名, 我们可以采用 None 攻击，将al 阅读全文