728x90
[ 이론 ]
Refreshing a token
Access Token을 새로고침하는 좋은 전략은 중요하다. 이 문제는 Bugcrowd라는 프로그램에서 내부 bug bounty를 통해 발견한 취약점을 기초로 두었으며, 여기서(https://emtunc.org/blog/11/2017/jwt-refresh-token-manipulation/) 확인 할 수 있다.
[ 문제 ]
Assignment
작년 로그파일은 다음(과 같다. Tom에게 책값을 내도록 할 수 있나?
194.201.170.15 - - [28/Jan/2016:21:28:01 +0100] "GET /JWT/refresh/checkout?token=eyJhbGciOiJIUzUxMiJ9.eyJpYXQiOjE1MjYxMzE0MTEsImV4cCI6MTUyNjIxNzgxMSwiYWRtaW4iOiJmYWxzZSIsInVzZXIiOiJUb20ifQ.DCoaq9zQkyDH25EcVWKcdbyVfUL4c9D4jRvsqOqvi9iAd4QuqmKcchfbU8FNzeBNF9tLeFXHZLU4yRkq-bjm7Q HTTP/1.1" 401 242 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0" "-"
194.201.170.15 - - [28/Jan/2016:21:28:01 +0100] "POST /JWT/refresh/moveToCheckout HTTP/1.1" 200 12783 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0" "-"
194.201.170.15 - - [28/Jan/2016:21:28:01 +0100] "POST /JWT/refresh/login HTTP/1.1" 200 212 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0" "-"
194.201.170.15 - - [28/Jan/2016:21:28:01 +0100] "GET /JWT/refresh/addItems HTTP/1.1" 404 249 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0" "-"
195.206.170.15 - - [28/Jan/2016:21:28:01 +0100] "POST /JWT/refresh/moveToCheckout HTTP/1.1" 404 215 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.181 Safari/537.36" "-"
728x90
'강의 및 교육 > Inflearn - Webgoat' 카테고리의 다른 글
| XXE - 7. Modern REST framework (0) | 2022.02.19 |
|---|---|
| XXE - 4. Let's try (0) | 2022.02.19 |
| JWT tokens - 8. JWT cracking (0) | 2022.02.11 |
| JWT tokens - 7. Code review (0) | 2022.02.11 |
| JWT tokens - 5. JWT signing (0) | 2022.02.10 |
