实验室:JWT身份验证通过JWK标头注入
该实验室使用基于JWT的机制来处理会话。服务器支持JWK
参数JWT标题。这有时用于将正确的验证密钥直接嵌入令牌中。但是,它无法检查提供的密钥是否来自受信任的来源。
要解决实验室,修改并签署JWT,使您可以访问管理面板/行政
,然后删除用户卡洛斯
。
您可以使用以下凭据登录到自己的帐户:维纳:彼得
小费
我们建议熟悉如何在Burp Suite中与JWTS合作在尝试这个实验室之前。
该实验室使用基于JWT的机制来处理会话。服务器支持JWK
参数JWT标题。这有时用于将正确的验证密钥直接嵌入令牌中。但是,它无法检查提供的密钥是否来自受信任的来源。
要解决实验室,修改并签署JWT,使您可以访问管理面板/行政
,然后删除用户卡洛斯
。
您可以使用以下凭据登录到自己的帐户:维纳:彼得
我们建议熟悉如何在Burp Suite中与JWTS合作在尝试这个实验室之前。
练习在现实目标上利用漏洞。
记录您从学徒到专家的发展。
看看您在我们的名人堂中排名。