🎯 令牌困境：泄露的JWT如何让我成为互联网上的任何人

这一切始于我扫描api.enterprise-app.com时，在服务器响应中注意到了一些奇怪的东西。“这是什么？一个JWT令牌单独出现在响应中？”

🎯 第一阶段：意外的令牌发现

小新模式：“布鲁布鲁派！让我们找到这些令牌藏在哪里！”

从在日志中发现JWT令牌，到算法混淆攻击、权限提升和完全账户接管。加入我的旅程，探索利用认证令牌的高级技术。包含完整的概念验证。

我妈妈总是说"不要和陌生人分享你的秘密！“但这些应用程序却在与任何愿意查看的人分享JWT令牌！😂 我当时就像小新发现了藏宝图…“动感超人！令牌狩猎任务！” 🦸♂️

🚧 CSP？更像是无法阻止有效载荷 🫸🧠 —— 像专业人士一样绕过CSP实现XSS

创建账户以阅读完整故事。 作者仅向Medium会员提供此故事。 如果您是Medium的新用户，请创建新账户免费阅读此故事。