WebGoat 8:hashcatを使用して署名をクラックするJWTトークンレッスン5
私はハッシュをクラックして、これを手に入れました:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJXZWJHb2F0IFRva2VuIEJ1aWxkZXIiLCJpYXQiOjE1MjQyMTA5MDQsImV4cCI6MTYxODkwNTMwNCwiYXVkIjoid2ViZ29hdC5vcmciLCJzdWIiOiJ0b21Ad2ViZ29hdC5jb20iLCJ1c2VybmFtZSI6IlRvbSIsIkVtYWlsIjoidG9tQHdlYmdvYXQuY29tIiwiUm9sZSI6WyJNYW5hZ2VyIiwiUHJvamVjdCBBZG1pbmlzdHJhdG9yIl19.vPe-qQPOt78zK8wrbN1TjNJj3Lex9Qbch6oo23RUJgM:victory
「勝利」は秘密の鍵ですか?次に何をしますか?
これはJWTトークンのようです。ドットで区切られた3つのBase 64エンコード部分でわかります。 jwt.io でトークンを簡単にデコードできます。
トークンを変更できないようにするために、秘密鍵を使用して暗号で署名されています。秘密鍵をクラックして、JWTトークンを変更したり、新しいJWTトークンを作成したりできるようにしました。これがどのような影響を与えるかは、JWTトークンに格納されている情報によって異なりますが、通常は、別のユーザーのセッショントークンを作成できます。