문제

• 로그인 페이지가 주어진다.
• guest로 로그인 가능하다.
• 힌트로 jwt 크랙 document가 주어진다.

---

풀이

• jwt에서 payload를 admin으로 변경해주고,
• 값의 변경을 체크하는 시그네처를 삭제해줘야 한다.

  1. 헤더의 alg를 "none"으로 변경
  2. 시그네처 부분을 완전 삭제,
     jwt : header + '.' + payload + '.'

---

선행지식

JWT 크랙

• 참조
  woounnan - jwt 크랙 정리글