Что общего у нуля, -1 и большого простого числа: Psychic Signatures в мире Java

Уязвимость ​​CVE-2022-21449 или “Psychic Signatures”, которая была обнаружена в Java 15-18, позволяет обойти механизм проверки ECDSA-подписи и подделать исходное сообщение. Если приложение использует уязвимую версию Java для валидации JWT-токенов на базе алгоритма ES256, злоумышленник может получить доступ к приложению от лица любого пользователя.

Подробное описание причины проблемы можно найти в этой статье, но первоначальный proof of concept не дает полного представления о том, какие приложения подвержены этой уязвимости. Чтобы исправить этот пробел, а также иметь возможность «поиграть» с приложением, которое максимально приближено к реальному, я создал стенд. На нем можно протестировать все возможные векторы атаки.

Для тех, кто не боится спойлеров

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Что делать, если ваш слон думает, что он баг?
• Как не потерять свои контейнеры у себя в инфраструктуре?
• Киберугрозы в первом полугодии 2025 года: анализ векторов атак на облачные и гибридные инфраструктуры
• Лицо, голос и тело по-датски
• Все тонкости GPG подписей
• Половина работающих в найме россиян хотят уйти в собственный бизнес в ближайшие два года
• «Сделано в России»: цифровые экосистемы МАЕР получили сертификат РЭЦ
• Бренд как медиа: что меняется, когда компания становится источником смыслов
• Foreman в изоляции: как мы построили отказоустойчивую и безопасную систему для массового деплоя ОС
• Пароли не там, где вы их оставили. Как работает DOM Clickjacking