[Перевод] JWT: Атака на цифровую подпись VS MAC-атака

Всем привет. Ни для кого не секрет, что ежемесячно OTUS запускает несколько абсолютно новых уникальных курсов, в этом месяце в их число вошел курс «Пентест. Практика тестирования на проникновение». По устоявшейся традиции, в преддверии старта курса, делимся с вами переводом полезного материала по данному направлению.



Во время последнего пентеста я наткнулся на схему авторизации на основе JSON Web Token (или просто JWT). JWT состоит из трех частей: заголовок, полезная нагрузка, информация для верификации. Первая часть заголовка содержит имя алгоритма, который в дальнейшем будет использоваться для верификационной части JWT. Это опасно, так как злоумышленник может изменить эту информацию и таким образом (возможно) проконтролировать, какая схема будет использоваться сервером для проверки. Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Как масштабировать FMCG-бренд и не потерять эффективность на новом рынке
• OSMI IT: Разработка платформы и рекомендательной системы для сервиса подбора digital-агентств NewBiz
• RUWARD выпустил рейтинги агентств по узким специализациям 2025
• Мультивселенная киберполигонов в РФ: часть 2. Интервью технического директора киберполигона ГК «Солар» Сергея Кулакова
• ТОП офлайн-приложений для связи, навигации и выживания
• Каждый третий пользователь использует формат историй, чтобы напомнить о себе
• [Перевод] [Перевод] Поиск способов закрепления в Linux (Часть 1)
• Иностудио: Как геймификация увеличила вовлечённость на 15%: разбор реальных HR-кейсов
• Ашманов и партнеры: SEO-продвижение бренд-медиа
• МБК: Как самозанятым и предпринимателям не остаться без денег на пенсии