Was ist dieser eyJ-Token? | JWT-Aufschlüsselung Teil 1

JWTs hacken! Umgehung der JWT-Authentifizierung der Portswigger Web Security Academy über eine nicht verifizierte Signatur – https://portswigger.net/web-security/jwt/lab-jwt-authentication-bypass-via-unverified-signature

▹ ZUM LABOR ÜBERSPRINGEN – 5:12

▹ Schau mir live auf Twitch zu – https://twitch.tv/garr_7
▹ Vielen Dank an Shikairi für die Bearbeitung! - https://twitter.com/_shikairi

#JWThacking #Hacker #Bugbounty #Website

▹ Zusätzliche Referenzen zur weiteren Erkundung:

Fireship-Sitzung vs. Token-Authentifizierung – https://www.youtube.com/watch?v=UBUNrFtufWo
JWT Parkour von Louis von PentesterLab – https://www.youtube.com/watch?v=zWVRHK3ykfo
JWT RFC – https://datatracker.ietf.org/doc/html/rfc7519

-------------------------------------------------- --------------
In dieser Serie werfen wir einen Blick auf die JWT Labs der Web Security Academy und schlüsseln sie auf. Ziel ist es, die Konzepte aufzuschlüsseln, um nicht nur zur Lösung zu gelangen, sondern auch über die Methodik und die mentalen Schritte zu sprechen, die wir unternehmen, um diese Schwachstellen in freier Wildbahn zu entdecken.

Zeitstempel:
0:00​ Neu beim Hacken? Worum geht es bei eyJ?
0:28​ Was ist ein JWT?
1:47 Komponenten eines JWT
3:35 Warum überhaupt ein JWT anstelle der herkömmlichen, Cookie-basierten Authentifizierung verwenden?
4:30 Wo treten Probleme mit JWTs auf?
5:12 JWT-Methodik und Laborstart
9:51 Zusammenfassung zu JWTs
6:07 Outro