node-jsonwebtokenで学ぶJWTのalg=none攻撃 - Qiita

テクノロジーカテゴリーの変更を依頼記事元:

qiita.com/ockeghem

36 usersがブックマークコメント

コメント

2

記事へのコメント2件

注目コメント
新着コメント

オーナーコメントを固定しています

オーナー ockeghem JWTのalg=none攻撃について、現実的なPoCとjsonwebtokenの対応状況について説明します

2023/09/08 リンク

オーナーコメントを固定しています

オーナー ockeghem JWTのalg=none攻撃について、現実的なPoCとjsonwebtokenの対応状況について説明します

2023/09/08 リンク

tattyu headerもpayloadも暗号化されてる訳じゃ無いのか。勘違いしてたわ。

2023/09/11 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

node-jsonwebtokenで学ぶJWTのalg=none攻撃 - Qiita

JWTの検証プログラムに対する有名な攻撃手法にalg=none攻撃があります。JWTのalgクレーム（署名アルゴリ... JWTの検証プログラムに対する有名な攻撃手法にalg=none攻撃があります。JWTのalgクレーム（署名アルゴリズム）としてnone（署名なし）を指定することにより、署名を回避して、JWTのクレームを改ざんする手法ですが、手法の解説は多いもの、脆弱なスクリプトのサンプルが少ないような気がしています。そこで、node.js用の著名なJWTライブラリであるjsonwebtokenを使った簡単なサンプルにより、alg=none攻撃の解説を試みます。なお、jsonwebtokenの最新版では今回紹介した攻撃方法は対策されているため、以下のサンプルでは古いjsonwebtokenを使っています。 alg=none攻撃とはよく知られているように、JWTは以下のように3つのパートからなり、それぞれのパートはBase64URLエンコードされています。ヘッダとペイロードはエンコード前はJSON形式です

ブックマークしたユーザー

emelian2023/09/18
yug12242023/09/16
sakito09022023/09/12
h_notsu2023/09/12
petite_blue2023/09/12
FaceToFace2023/09/12
fuku_tech2023/09/12
suguru032023/09/12
dhesusan46492023/09/12
kkeisuke2023/09/12
mstk_knife2023/09/12
tattyu2023/09/11
popondol2023/09/11
L3msh02023/09/11
demandosigno2023/09/11
se7en12023/09/11
takahiro6652023/09/11
akishin9992023/09/11

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx