JWT渗透与防御
文章平均质量分 52
分享JWT渗透与防御知识
南暮思鸢
一名计算机学院学子
展开
-
CTFhub技能树JWT——敏感信息泄漏
初见页面:点击链接之后发现要登录,这里用自己的账号nanyuan登录一下:之后用burp抓一下刷新页面的包:已经发现cookie里面包含了token的值,复制粘贴到jwt加解密网站上,在JWT的Header和Payload上可以看到分成两份的flag,拼接起来上传flag:原创 2024-09-08 19:57:18 · 245 阅读 · 0 评论 -
JWT渗透与防御概述
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。首先,需要指定一个密钥(secret)。算出签名以后,把Header、Payload、Signature三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。(注意:JWT默认是不会对Payload加密的,也就意味着任何人都可以读到这部分JSON的内容,所以不要将私密的信息放在这个部分)原创 2024-09-08 19:56:00 · 341 阅读 · 0 评论