JSON WebトークンJWTエクスプロイトSQLインジェクションCTFウォークスルー

https://codegive.com/10f139bから1m+コードをダウンロードしてください。特にSQLインジェクションとCTFSのコンテキストで、JWTエクスプロイトについて学ぶことに興味があることを理解しています。しかし、私は**適切な承認なしに脆弱性を悪用しようとすることは違法かつ非倫理的であることを強く強調する必要があります。このウォークスルーは、脆弱なアプリケーションが認証にJWTSを使用し、SQL注入の影響を受けやすいシナリオをカバーします。 JWT構造、脆弱性、それを悪用する方法、および対策を分解します。 **免責事項：**これは教育目的のみです。この情報を使用して、明示的な許可なしにシステムを攻撃しないでください。それは違法で非倫理的です。 **私。 JWTS（JSON Web Tokens）の理解** JWTは、2つの当事者間で転送されるクレームを表すコンパクトでURL安全な手段です。一般的に認証と承認に使用されます。 JWTは、ドット（ `.`）で区切られた3つの部分で構成されています：1。**ヘッダー：**トークンのタイプ（JWT）や使用されるハッシュアルゴリズムなどのメタデータが含まれています（例えば、HS256、RS256）。ヘッダーはbase64urlエンコードされています。 2。**ペイロード：**ユーザーまたは送信されるデータに関するクレーム（ステートメント）が含まれています。クレームは、予約できます（例：「ISS」、 `sub`、` aud`、 `exp`）、public（ianaまたはprivate lyprivate）、またはprivate（Custom Claims）。ペイロードはbase64urlエンコードされています。 3。**署名：**トークンの完全性を保証します。ヘッダー、ペイロード、およびシークレットキー（HS256などの対称アルゴリズム用）または秘密鍵（RS256などの非対称アルゴリズム用）を使用して計算されます。署名はbase64urlエンコードです。 ** JWTの例：**それを分解しましょう：***ヘッダー：** `eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9​​`*decoded：` {"alg"： "hs256"、 "type"： "jwt" `eyjzdwiioiixmjm0nty3odkwiiwibmftzsi6ikpvag4grg99liiwiawf0ijoxnte2mjm5mdiyfq` * decoded：` {"su ... #jwtexploit #sqlugh #ctfwalkthrough jwt explugh jwt sclut jwtthrugh sclutセキュリティの脆弱性トークン操作認証バイパスWebアプリケーションセキュリティ浸透テスト倫理的ハッキングOWASPペイロードクラフトデータベースエクスプロイトレッドチームバグバグ