C'est quoi ce jeton eyJ ? | Répartition de JWT, partie 1

Pirater les JWT ! Contournement de l'authentification JWT de la Portswigger Web Security Academy via une signature non vérifiée - https://portswigger.net/web-security/jwt/lab-jwt-authentication-bypass-via-unverified-signature

▹ PASSER AU LABO - 5:12

▹ Regardez-moi en direct sur Twitch - https://twitch.tv/garr_7
▹ Bravo à Shikairi pour le montage ! - https://twitter.com/_shikairi

#JWThacking #hacker #bugbounty #siteweb

▹ Références supplémentaires pour une exploration plus approfondie :

Session Fireship vs authentification par jeton - https://www.youtube.com/watch?v=UBUNrFtufWo
JWT Parkour par Louis de PentesterLab - https://www.youtube.com/watch?v=zWVRHK3ykfo
JWT RFC - https://datatracker.ietf.org/doc/html/rfc7519

-------------------------------------------------- ----------------------------
Dans cette série, nous examinons les laboratoires JWT de la Web Security Academy et les décomposons. L'objectif est de décomposer les concepts non seulement pour trouver la solution, mais aussi pour parler de la méthodologie et des étapes mentales que nous prenons pour découvrir ces vulnérabilités dans la nature.

Horodatage :
0:00​ Vous débutez en hacking ? Qu'est-ce que c'est qu'EyJ ?
0:28​ Qu'est-ce qu'un JWT ?
1:47 Composants d'un JWT
3:35 Pourquoi même utiliser un JWT plutôt qu'une authentification traditionnelle basée sur les cookies ?
16h30 Où surviennent les problèmes avec les JWT ?
5:12 Méthodologie JWT et Lab START
9h51 Récapitulatif sur les JWT
6:07 Sortie