Атаки на JWT | почему возникают ошибки JWT и как их избежать? | уязвимости JWT | ЭТО НУЖНО ЗНАТЬ!
ฝัง
- เผยแพร่เมื่อ 24 ต.ค. 2023
- Какие ошибки допускают программисты и почему возникают уязвимости в JWT? Как избежать этих ошибок?
Привет! На связи Mekan aка MrCyberSec.
В этом ролике я расскажу вам об атаках на JWT. О том, каким атакам они подвержены и как возникают уязвимости JWT. Вы точно будете удивлены, когда узнаете об ошибках, которые приводят к уязвимости JWT! Почему о них не рассказывали раньше?
------------------------------------------------------------------------------------------------------
Мои статьи и врайтапы: maddevs.io/blog/authors/mekan...
Заказать услуги: maddevs.io/cybersecurity/
Telegram: t.me/MrCyberSec_channel
Boosty.to: boosty.to/mrcybersec
X/Twitter: / _mrcybersec
HackTheBox: app.hackthebox.com/profile/70...
LinkedIn: / mekan-bairyev
#jwt #атакиjwt #уязвимости #jwt
Топчег! Как мы без этого жили
❤
100%
Кайф!! Продолжай снимать 💪🏽
Спасибо за поддержку, буду! 💪🏽
Годный контент! Лайк, подписка, репост! 👍
Практическое видео JWT атаки
Очень круто, спасибо за видео
Классный ликбез. Спасибо!
Тупо лучший, просто музыка для моих ушей!
❤
Классная подача, хорошая база знаний. Спасибо за контент
💥💥💥Отличный видос! Круто бы кейсы по разбирать, инструменты и побольше подобного про уязвимости 💥💥💥
Про недостатки oauth2.0, ну и по классике про десереиализацию
Топчик :))) даёшь еще качественный контент 💪🏻💪🏻💪🏻
Спасибо🔥
Красавчик!! Все подробно расписал))
вообще огонь, крайне полезно
Братан продолжай, ты реально гений и твои видео это хлеб для меня, кратко но тонкости описаны, благодаря тебе на собесе себя буду чувствовать комфортнее
Спасибо, очень интересно
Супер канал!!!
Oh, ok, I thought JWT meant "Just Woke up, Tired", thanks for clarifying
What if the first response after server restarted, would include "JustWokeUP" header...
Привет! Сделано интересно и качественно, только один коммент - очень тихо. Я смотрел на телевизоре, и обычно я смотрю Ютуб на звуке "10" - это видео пришлось выкрутить на "15" (максимум).
Жду ещё, спасибо!
Спасибо за фидбек, учту!
подача топ, только на заднем фоне музыку можно чуть чуть можно потише сделать
делай долгие видео, по часу) будет интересно и полезно)
Будут и такие:)
чуть поправлю: для верификации jwt может использоваться и публичный ключ, не только приватный
Что-то уже переживаю не за jwt, а потому, что видео на канале вдруг стало вдвое меньше. Только нашел и не успел даже половину посмотреть. А контент топ и ещё хотелось бы...
@andreydavydov9683 Пришлось на время скрыть весь контент от htb, так как я использовал активный контент платформы для этих видео. Видео появятся обратно в течении 3-5 месяцев, а тем временем я продолжу выпускать видео такие же интересные, но машины из категории retired. На этой неделе будет!:)
Посмотрел несколько видео. Могу с уверенностью сказать, что если ты снимешь видео про атаки SPA-приложений, оно соберет много просмотров. Я фронтенд-разработчик и вижу, что твои видео рекомендует нашему сегменту. Так что, снимай пожалуйста для нас - криворуких макак, как защищать вебсайты от атак😁😁
:)) Спасибо за рекомендацию
Отличная речь! Редко попадается такое вменяемое изложение.
Жаль терять шикарный контент из-за музыки в фоне.
Аксиома: "Никакая музыка ни при каком условии не способствует изучению чего бы то ни было".
А музыка как фон в видео с лайв-кодингом - тоже мешает, как думаете?
Любая музыка всегда мешает любому изучению. Когда вы студент, вы можете делать уроки под музыку, это мешает изучению, но помогает психоэмоциональному состоянию. Когда вы взрослый человек, музыка для поддержки психики не нужна, а если всё же нужна, вы же сами можете себе фоном любую музыку включить.
Пришлось заново включить видео. Пока не прочитал коммент, даже не заметил что фоном была музыка. Так что всё индивидуально.
Не стоит отождествлять Ваше субъективное восприятие и объективную реальность.
@@MB-mi4ed не стоИт или не стОит?😂
Как меняется смысл от такой маленькой детали!
Мне кажется лучше использовать готовые jwt библиотеки чем изобретать свои лясипеды.
Все бы ничего, но и в готовых либах находятся уязвимости.
@@MrCyberSecполностью согласен, но есть и проверенные либы типа djoser для django проектов
Ну обычно юзают либу и все окей, а я вообще люблю jwt сохранить в базу, что бы можно было "выйти со всех устройств" да и просто токен не только при устартвании умирал, но и при логауте. Что бы украденный токен не был активен на год всееркд 😂
Разработчики полагаются на либы, будто бы в них не содержится уязвимостей, а ведь в либах ежедневно находят уязвимости:) Взгляните на ленту Snyk: security.snyk.io/
Что же касается токена, чтобы украденый токен продолжал был активным, достаточно обратиться к условному /api/refresh
@@MrCyberSec Не могу спорить, явно не моего уровня компетенции. Просто примеры приведенные тут как буд-то не отражают действительность.
/api/refresh -- при наличии свежего токена выкинет юзера(владельца) из аккаунта. перелогинится и тогда оба наших токена, что бы получили по /api/refresh протухнут
Эт в случае, если есть refresh токен, а если только access который дублируется в базе? Выглядит менее безопасно, чем первый вариант, так как пользователь должен сам разлогинится, а откуда ему узнать о том, что его токен украли?
И access refresh token ?
@@tackesi Ну, вы правы, конечно. Но выкинет ли али нет, это уже не особо важно, когда пользовательские данные уже утекли :) А про действительность, скажу лишь, что действительность она весьма разнообразная: да, какие-то кейсы довольно редки, а что-то все еще встречается часто. Мое же видео служит лишь осветительной цели и если в нем что-то не соответсвтует действительности, я рад обновить свои знания:)
@@tackesi Это почему получение новых токенов через /api/refresh сделает старые невалидными?
@@dyingroseband почитайте про access refresh tokens. Безусловно, можно сделать, что бы старые не протухали. но тогда в этой концепции не будет смысла.
Спасибо всем алгоритмам, что выдали мне это в ленте 🫶🏻
Лучше не про атаки а про то как их не допустить