Основные блоги b.Z » Все блоги » Про интернет » Атаки на JSON Web Tokens

Атаки на JSON Web Tokens

Все блоги / Про интернет 9 января 2021 466   
Смотреть в Telegram Поделиться в TG



Содержание:

Что такое JWT?

Заголовок

Полезная нагрузка

Подпись

Что такое SECRET_KEY?

Атаки на JWT:

Базовые атаки:

Нет алгоритма

Изменяем алгоритм с RS256 на HS256

Без проверки подписи

Взлом секретного ключа

Использование произвольных файлов для проверки

Продвинутые атаки:

SQL-инъекция

Параметр поддельного заголовка

Внедрение заголовка ответа HTTP

Прочие уязвимости

Что такое JSON Web Token?


Веб-токен JSON обычно используется для авторизации в клиент-серверных приложениях. JWT состоит из трех элементов:



Заголовок

Полезная нагрузка

Подпись

Заголовок

Это объект JSON, который представляет собой метаданные токена. Чаще всего состоит из двух полей:



Тип токена

Алгоритм хэширования

Официальный сайт предлагает два алгоритма хэширования:



«HS256»

«RS256»

Читать дальше →

Источник: Хабрахабр

  • Оцените публикацию
  • 0
предыдущая статья
следующая статья

Похожие публикации

Токен авторизации на примере JSON WEB Token

Доброго времени суток, дорогой читатель. В данной статье я постараюсь рассказать об одном из самых популярных (на сегодняшний день) способов авторизации в различных клиент-серверных приложениях - токен авторизации. А рассматривать мы его будем на примере самой популярной реализации - JSON Web Token

подробнее »
18 декабря 2020
Шпаргалки по безопасности: JWT

Многие приложения используют JSON Web Tokens (JWT), чтобы позволить клиенту идентифицировать себя для дальнейшего обмена информацией после аутентификации. JSON Web Token – это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между

подробнее »
23 июня 2019
[Перевод] Локальное хранилище или куки? Безопасное хранение JWT на клиенте

JWT (JSON Web Token) — это замечательный стандарт, основанный на формате JSON, позволяющий создавать токены доступа, обычно используемые для аутентификации в клиент-серверных приложениях. При использовании этих токенов возникает вопрос о том, как безопасно хранить их во фронтенд-части приложения.

подробнее »
2 августа 2020
[Из песочницы] Пять простых шагов для понимания JSON Web Tokens (JWT)

Представляю вам мой довольно вольный перевод статьи 5 Easy Steps to Understanding JSON Web Tokens (JWT). В этой статье будет рассказано о том, что из себя представляют JSON Web Tokens (JWT) и с чем их едят. То есть какую роль они играют в проверке подлинности пользователя и обеспечении безопасности

подробнее »
15 октября 2017
[Перевод] JWT: Атака на цифровую подпись VS MAC-атака

Всем привет. Ни для кого не секрет, что ежемесячно OTUS запускает несколько абсолютно новых уникальных курсов, в этом месяце в их число вошел курс «Пентест. Практика тестирования на проникновение». По устоявшейся традиции, в преддверии старта курса, делимся с вами переводом полезного материала по

подробнее »
11 сентября 2019
[Из песочницы] Методы защиты от CSRF-атаки

Что такое CSRF атака? Ознакомиться с самой идеей атаки CSRF можно на классических ресурсах: OWASP Acunetix Отличный ответ на SO Выдержка из ответа на SO: Причина CSRF кроется в том, что браузеры не понимают, как различить, было ли действие явно совершено пользователем (как, скажем, нажатие кнопки

подробнее »
29 декабря 2016
@
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии