Vulnerabilità del token Web JSON con HMAC e RSA

1

Attualmente sto imparando una vulnerabilità che sfrutta un token web JSON che è discusso qui

Sebbene io abbia compreso la natura del bug e come possa essere abusato dagli aggressori, non sono riuscito a capire come sfruttarlo. Ho letto molti articoli su di esso e ho trovato un URL che può essere utilizzato per testare questa vulnerabilità a fini didattici. (Puoi trovare i due link per test di seguito.

sicurezza JSON

chiave pubblica

Qualcuno ha qualche idea su come posso sfruttarlo?

    
posta Goron 05.06.2018 - 13:01
fonte

1 risposta

1

Infine l'ho bypassato con un algoritmo JWT personalizzato, in cui HMAC accetta la chiave pubblica come chiave segreta. Che non può essere fatto nel modulo pyjwt di python o in qualsiasi altra lingua da quando è stato risolto.

Controlla il codice POC qui

    
risposta data 18.06.2018 - 15:04
fonte

Leggi altre domande sui tag