从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 问题描述: - 描述:硬编码JWT秘密密钥可能导致任意用户伪造令牌。 - 影响:由于travels-java-api是一个开源项目,其他人可以轻松获取travels-java-api的JWT秘密密钥。这使得他们可以使用JWT秘密密钥生成任意JWT令牌并获取任何用户的权限。 2. 修复建议: - 建议:在项目初始化时生成一个随机JWT秘密密钥,并将其存储在数据库中。 3. 测试代码: - 代码示例: 4. 文件: - 文件路径:travels-java-api-master/src/main/java/io/github/mariazevedo88/travelsjavaapi/filters/JwtAuthenticationTokenFilter.java - 代码片段: 5. 结果: - 结果:通过伪造的令牌,可以获取到“admin”的用户名。 这些信息表明,通过硬编码JWT秘密密钥,攻击者可以生成任意JWT令牌并获取任意用户的权限。修复建议是生成随机JWT秘密密钥并将其存储在数据库中,以防止此类漏洞。