Phân Tích Lỗ Hổng JWT và SSTI trong Thử Thách Web Cat Club CTF
Thử thách web này tập trung vào cơ chế xác thực JWT và xử lý mẫu động. Ứng dụng sử dụng thuật toán RS256 để ký token nhưng triển khai xác minh không đầy đủ, tạo điều kiện cho tấn công hạ cấp thuật toán.
Cơ chế xác minh JWT không an toàn
Đoạn mã xử lý token thiếu kiểm tra thuật toán bắt buộc, chỉ chặn trường hợp "none" mà không yêu cầu bắt buộc ...
Đăng vào ngày 18 tháng 6 lúc 00:40