现代Web应用渗透测试:如何攻击JWT
关于测试Web应用安全问题的许多信息已经过时。别误会,旧方法仍然经常有效,但Web应用漏洞远不止跨站脚本(XSS)和SQL注入。以JWT(JSON Web Tokens)为例,这些是Base64编码的令牌,有时会写入浏览器的localStorage或sessionStorage,并通过cookie或HTTP头传递。它们在Web API的认证和授权逻辑中非常常见。
由于它们被编码,看起来像乱码,在测试中很容易被忽略。也正因如此,攻击它们更加复杂。首先,你必须注意到它们;然后解码;接着解释解码后的数据;然后决定攻击什么!完成这些后,你还需创建有效载荷,将其转换为有效的JSON,并重建JWT才能发送。这相当繁琐。
在这个Black Hills Information Security网络研讨会中——摘自他即将推出的16小时现代Web应用渗透测试课程——BB King讨论了JSON Web Tokens是什么、为什么它们备受争议,以及如何测试其主要弱点。然后,他以OWASP的Juice Shop为目标,展示了一种直接的利用方法,你可以在下一次Web应用渗透测试中使用。
加入Black Hills Information Security Discord讨论服务器:https://discord.gg/aHHh3u5
本网络研讨会的幻灯片可在此处找到:https://www.blackhillsinfosec.com/wp-content/uploads/2020/09/SLIDES_WebApp_PenTesting_AttackingJWTs.pdf
时间戳:
- 0:00 – 早上好!
- 1:50 – 什么是JSON Web Tokens?
- 4:43 – Base64与Base64 URL编码
- 7:58 – JSON令牌的构造
- 10:07 – 使用案例
- 13:03 – 相关RFC
- 13:26 – 编码,非加密
- 19:58 – 红色幻灯片
- 20:39 – OWASP十大问题
- 21:01 – 签名算法
- 25:31 – 隐私立场
- 26:53 – 安全立场
- 28:56 – 破解
- 30:20 – 实践地点
- 34:58 – 解码有效载荷 – 演示
- 45:57 – 窥探(窃取保护不当的密钥)
- 53:34 – 进一步学习
我们觉得BB很酷……但可能我们有偏见。为什么不亲自上一堂他的课体验一下呢?
现代Web应用渗透测试
提供实时/虚拟和点播课程。
返回顶部
Black Hills Information Security, Inc.
890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447)
© 2008
关于我们 | BHIS部落公司 | 隐私政策 | 联系我们
链接
搜索网站