Атаки на JSON Web Tokens (JWT)

Всем привет!

JWT повсеместно используются в современном мире для решения значимых задач – аутентификация, авторизация, безопасный обмен данными в приложениях.

Поэтому их защита – крайне важная задача. Если вам интересна эта тема, то рекомендуем прочесть статью.

После минималистичной вводной (что такое JWT, из каких «частей» состоит, какие они бывают и т.д.) Автор переходит к самому интересному – атакам и уязвимостям, связанным с технологией!

Рассматриваются:
🍭 Signature Not Verified
🍭 None Algorithm Attack
🍭 Trivial Secret
🍭 Algorithm Confusion и не только

Для каждой уязвимости описано в чем ее суть, какое может быть воздействие/ущерб (impact), как ее можно эксплуатировать и как можно защититься.

Коротко, ёмко, без воды и по делу! То, что надо!

DevSecOps Talks

Атаки на JSON Web Tokens (JWT)

Всем привет!

JWT повсеместно используются в современном мире для решения значимых задач – аутентификация, авторизация, безопасный обмен данными в приложениях.

Поэтому их защита – крайне важная задача. Если вам интересна эта тема, то рекомендуем прочесть статью.

После минималистичной вводной (что такое JWT, из каких «частей» состоит, какие они бывают и т.д.) Автор переходит к самому интересному – атакам и уязвимостям, связанным с технологией!

Рассматриваются:
🍭 Signature Not Verified
🍭 None Algorithm Attack
🍭 Trivial Secret
🍭 Algorithm Confusion и не только

Для каждой уязвимости описано в чем ее суть, какое может быть воздействие/ущерб (impact), как ее можно эксплуатировать и как можно защититься.

Коротко, ёмко, без воды и по делу! То, что надо!

Pentesterlab

The Ultimate Guide to JWT Vulnerabilities and Attacks (with Exploitation Examples)

Master JWT security with this in-depth guide to web hacking and AppSec. Learn how to exploit and defend against real-world JWT vulnerabilities like algorithm confusion, weak secrets, and kid injection — with hands-on labs from PentesterLab.

👍2

hottg.com/devsecops_weekly/1235

2.99K viewsJun 11 at 04:23