Des HACKERS USURPENT VOTRE IDENTITÉ, COMMENT ? | Enquête sur les failles des JWT

Aujourd'hui, grosse vidéo sur les vulnérabilités liées aux JSON Web Token, si vous ne connaissez rien aux JWT, pas ne panique, je vous explique tout de A à Z dans la vidéo, en passant par ce que c'est, la cryptographie utilisée, puis des vulnérabilités connues comme de l'injection de header JWT permettant du path traversal !

00:00 - Intro
00:18 - C'est quoi un JWT ? C'est quoi JSON ?
03:08 - Comment sont signés les JWT ? Point sur les algos de crypto
06:49 - Pourquoi les attaquants s'intéressent aux JWT ?
07:00 - Attaque via acceptation de signatures arbitraires
08:06 - Attaque en-tête "None"
09:19 - Attaque par "force brute" de clé secrète
12:16 - Injection d'en-têtes JWT, différence entre JWS et JWE
16:03 - Lab bypass d'authentification JWT via path traversal du header KID
18:07 - Impacts
19:18 - Remédiations
20:45 - Outro !

Miniature : @gurvanseveno3498

=[ Social ]=

→ Twitter:   / fransosiche  

=[ Source ]=

→ https://portswigger.net/web-security/jwt
→ https://book.hacktricks.xyz/pentestin...
→ https://supertokens.com/blog/what-is-jwt
→ https://grafikart.fr/tutoriels/json-w...
→ Twitter de Laluka https://twitter.com/thelaluka?s=21&t=...


#cybersécurité #JWT #JsonWebToken #vulnérabilité #web #hacking #pentest #fr