JWT密钥硬编码可能导致任意用户登录

huanghanzhilian / c-shopping

A beautiful shopping platform developed with Next.js, tailored for various devices including Desktop, Tablet, and Phone. 基于Nextjs开发同时适配Desktop、Tablet、Phone多种设备的精美购物平台

http://shop.huanghanlian.com/

MIT License

1.78k stars 244 forks source link

JWT密钥硬编码可能导致任意用户登录 #3

Open Ovi3 opened 3 months ago

Ovi3 commented 3 months ago

在.env文件里JWT Token硬编码。

https://github.com/huanghanzhilian/c-shopping/blob/1588741fe7631fd2712280dabce02253aeba5e99/.env#L3

以 http://shop.huanghanlian.com/ 为例，可以任意构造一个合法的JWT。

JWT里由userid组成，userid是MongoDB的ObjectID， Object ID可以预测，见 https://book.hacktricks.xyz/v/cn/network-services-pentesting/27017-27018-mongodb#mongo-objectid-yu-ce 。

修复建议：

不使用硬编码的JWT密钥，项目初始化时随机生成

huanghanzhilian commented 3 months ago

谢谢建议，我会仔细研究这个问题并近期解决。