Notatki z SHP
JTW - bezpieczna wymiana informacji wykorzystująca json pomiędzy dwoma apkami
Rozkowanie base64 (wiec nie zapewnia poufności)
Httparchive
GoogleBigquery i wyszukiwanie danych z httparchive (np. Tokenow jwt, authorization basic itp)
- Bruteforce hasla do JWT (np. Hashcatem)
- Zmiana algorytmu szyfrującego (np. Z HS256) JWT na none
- Uwaga na JWT.io jak wpiszemy alg none to nie pokaże wyników (trzeba samemu base64 codowac
3. Resign-vuln - szyfruje kluczem prywatnym RSA mój token, a publiczny klucz RSA wrzucam w headerze
JWT WYGLADA TAK: NAGLOWEK.DANE.PODPIS
sekurak.pl/jwt-ebook.pdf < opis JWT wraz z checlista ]
Brak komentarzy:
Prześlij komentarz
Proszę zostaw swój komentarz w celu dopowiedzenia tego czego ja nie wiedziałem lub wywołania ciekawej dyskusji. Wprowadziłem moderowanie komentarzy ze względu na dużą popularność bloga wśród różnych SEO botów :)