jwt_tool
-
Статья JWT bypass уязвимость через kid header: разбор эксплуатации и защита
На аудите финтех-API осенью 2024-го мы три дня копали IDOR в платёжных эндпоинтах - а critical обнаружился в JWT-заголовке. Значение параметра kid подставлялось напрямую в SQL-запрос к таблице ключей подписи. Одна UNION-инъекция - и мы контролировали ключ верификации, генерировали токены с...- Сергей Попов
- Тема
- appsec jwt уязвимости json web token эксплуатация jwt authentication bypass jwt bypass уязвимость jwt kid header уязвимость jwt path traversal kid jwt_tool sql injection jwt kid
- Ответы: 0
- Раздел: Безопасность веб-приложений
-
Статья JWT Attacks: подделка токенов и эксплуатация уязвимостей
Как часто ты встречал JWT в своей работе? Честно? Этот стандарт так плотно вошёл в веб-приложения, что его используют везде: от API до аутентификации и микросервисов. Но если бы всё было так просто... Все эти токены на самом деле могут быть твоими врагами, если не уметь правильно с ними...- Luxkerr
- Тема
- alg none bypass brute force jwt hashcat 16500 jku exploit jwk injection jwt attacks jwt security jwt_tool key confusion rs256 hs256 attack
- Ответы: 0
- Раздел: Безопасность веб-приложений