[Перевод] JWT: Атака на цифровую подпись VS MAC-атака

Всем привет. Ни для кого не секрет, что ежемесячно OTUS запускает несколько абсолютно новых уникальных курсов, в этом месяце в их число вошел курс «Пентест. Практика тестирования на проникновение». По устоявшейся традиции, в преддверии старта курса, делимся с вами переводом полезного материала по данному направлению.



Во время последнего пентеста я наткнулся на схему авторизации на основе JSON Web Token (или просто JWT). JWT состоит из трех частей: заголовок, полезная нагрузка, информация для верификации. Первая часть заголовка содержит имя алгоритма, который в дальнейшем будет использоваться для верификационной части JWT. Это опасно, так как злоумышленник может изменить эту информацию и таким образом (возможно) проконтролировать, какая схема будет использоваться сервером для проверки. Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Мерчандайзинг в интерфейсах: Как ваши привычки стали врагом номер один
• Pragmata взломали за два дня до релиза. Шесть слоёв защиты Denuvo и как их обходят через гипервизор
• Страшно, когда не видно: взгляд внутрь домена
• Безопасность умных устройств изнутри: от Secure Boot и TrustZone до отчётов внешних исследователей
• Реклама в Max уже работает: установки приложения в 7 раз дешевле, чем в Telegram
• bitkogan: Может ли экономика выжить без малых и средних компаний?
• Неизменяемая архитектура. Практическая проверка кодом. Аутентификация
• Spark_news: Рейтинг компаний, которые закрывали магазины в России к 2026 году
• Охота на CVE в Cursor IDE: полный технический разбор безопасности AI-редактора
• GooD_News: Huawei выходит на рынок AI-очков