[Перевод] JWT: Атака на цифровую подпись VS MAC-атака

Всем привет. Ни для кого не секрет, что ежемесячно OTUS запускает несколько абсолютно новых уникальных курсов, в этом месяце в их число вошел курс «Пентест. Практика тестирования на проникновение». По устоявшейся традиции, в преддверии старта курса, делимся с вами переводом полезного материала по данному направлению.



Во время последнего пентеста я наткнулся на схему авторизации на основе JSON Web Token (или просто JWT). JWT состоит из трех частей: заголовок, полезная нагрузка, информация для верификации. Первая часть заголовка содержит имя алгоритма, который в дальнейшем будет использоваться для верификационной части JWT. Это опасно, так как злоумышленник может изменить эту информацию и таким образом (возможно) проконтролировать, какая схема будет использоваться сервером для проверки. Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• ИИ и проблемы его безопасности
• Как я нашёл квартиру за четверть стоимости из-за бага на сайте застройщика ПИК:
• Придумали игру для сотрудников и взорвали корпоративную культуру. Геймификация в Пятёрочке
• Прячем shellcode в приложениях
• Как увеличить продажи на маркетплейсах в категории DIY сразу после старта
• Почти треть тендеров на рекламном рынке в 2024 году оказалась неэтичной
• Выкрутили автоматизацию на максимум: с чем кроме инвентаризации помог переход на NetBox
• Aisha: Как использование ИИ в переписках с клиентами позволило на 32% увеличить кол-во лидов на покупку квартир в новостройке
• Spark_news: Т-Технологии стали основным владельцем «Точки», выкупив 64- процентную долю
• Spark_news: Ozon fresh и «Ашан» запустили совместный бренд готовой еды