ROOTME] JSON Web Token (JWT) - Introduction

woounnan·2020년 2월 29일
1

wargame

목록 보기
3/59
post-thumbnail

문제

  • 로그인 페이지가 주어진다.
  • guest로 로그인 가능하다.
  • 힌트로 jwt 크랙 document가 주어진다.

풀이

  • jwt에서 payload를 admin으로 변경해주고,
  • 값의 변경을 체크하는 시그네처를 삭제해줘야 한다.
    1. 헤더의 alg를 "none"으로 변경
    2. 시그네처 부분을 완전 삭제,
      jwt : header + '.' + payload + '.'

선행지식

JWT 크랙

0개의 댓글