Web-hacking
JWT Token Signature last character
최근 JWT token 취약점 공부하다가,token의 signature 마지막 글자를 바꿔도 유효한 토큰이 된다는 얘기를 듣고그 원리가 궁금하여 공부한 내용을 공유하고자 합니다. PPT로 만들었는데 단순 파일만 올리기 밋밋하여.. 본문에 사진으로도 첨부합니다! 간단하게 분석을 해보았습니다! 피드백은 매우 환영 입니다 😀
burpsuite 패킷 잡기
1. chrome 확장 프로그램 설치 : SwitchyOmega 2. burp suite 다운로드 https://portswigger.net/burp/communitydownload 3. chrome 확장 프로그램 Omega 설정 프록시 서버 on 프록시 서버 off System Proxy를 눌러서 off 할 수 있다. 4. burp suite 설정 request 패킷, response 패킷 잡는 것 체크해주기 ! 패킷 잡기 on 5. 패킷 잡히는지 확인 + target 설정하는 방법 패킷을 잡고 싶은 도메인 URL을 추가해준다. in-scope 항목만 filter 하도록 체크해준다. + 크롬 확장 프로그램 없이 패킷 잡는 방법1 : => 윈도우 프록시 설정 프록시 서버 사용으로 해주고, burpsuit..
인코딩
1. 문자 인코딩 컴퓨터는 'a', '가'와 같은 우리의 문자를 인식할 수 없다. 우리의 문자를 컴퓨터가 인식할 수 있는 0과 1로 바꿔주는 것을 인코딩, 부호화 한다고 한다. 'a' 는 1이다. 'b'는 2이다. 같은 규칙을 정해놓고 바꿔주는데, 이렇게 문자와 숫자를 매핑시켜준 테이블을 문자셋(charset)이라고 한다. 문자 인코딩 : 컴퓨터가 인식할 수 있는 바이너리를 생성하는 것 문자 셋 : 인코딩을 위해 정해놓은 규칙 국제적으로 정해놓은 표준이 있다. - 아스키(Ascii) - 유니코드(Unicode) 1.1. 아스키코드 1바이트로 알파벳과 특수 문자 등을 표현한다. 7비트를 사용하여 2^7 = 128 개의 문자를 표현할 수 있다. 첫 비트는 패리티 비트로 데이터의 에러를 탐지하기 위해 사용한다..