ROOTME] JSON Web Token (JWT) - Introduction

노션으로 옮김·2020년 2월 29일
CTFvulnerabilityweb
1

wargame

목록 보기
3/59
post-thumbnail

문제

  • 로그인 페이지가 주어진다.
  • guest로 로그인 가능하다.
  • 힌트로 jwt 크랙 document가 주어진다.

풀이

  • jwt에서 payload를 admin으로 변경해주고,
  • 값의 변경을 체크하는 시그네처를 삭제해줘야 한다.
    1. 헤더의 alg를 "none"으로 변경
    2. 시그네처 부분을 완전 삭제,
      jwt : header + '.' + payload + '.'

선행지식

JWT 크랙

profile
노션으로 옮김
이전 포스트

ROOTME] Insecure Code Management

다음 포스트

ROOTME] JSON Web Token (JWT) - Weak secret

0개의 댓글

관련 채용 정보