آموزش هک و ایمن سازی توکن های وب JSON (JWT)

سرفصل ها و درس ها

معرفی دوره Course Introduction

• معرفی Introduction

مقدمه ای بر JWT Introduction to JWT

• راه اندازی آزمایشگاه Lab setup

• APIهای آسیب پذیر سفارشی - دانلود Custom Vulnerable APIs - Download

• JWT چیست؟ What is JWT?

• ساختار JWT JWT Structure

• کدگذاری Base64 در مقابل Base64url Base64 vs Base64url encoding

• چند کلمه در مورد امضای JWT A word about JWT Signature

• JWT چگونه کار می کند؟ How JWT works?

• API Documentation - دانلود API Documentation - Download

• نسخه ی نمایشی JWT JWT Demo

• خلاصه Summary

عمق JWT JWT indepth

• هدرهای JWT JWT Headers

• JWT Payload JWT Payload

• امضای JWT JWT Signature

• آشنایی با HS256 Understanding HS256

• نسخه ی نمایشی HS256 HS256 Demo

• آشنایی با RS256 Understanding RS256

• نسخه ی نمایشی RS256 RS256 Demo

• نسخه ی نمایشی الگوریتم هیچ None Algorithm Demo

JWT - خط فرمان کونگ فو JWT - Command line Kung-Fu

• ایجاد امضای HS256 به صورت دستی Manually creating HS256 Signature

• ایجاد کلیدهای RSA با استفاده از Openssl Generating RSA Keys using Openssl

• ایجاد امضای RS256 به صورت دستی Manually creating RS256 Signature

حملات و دفاع JWT JWT Attacks and Defenses

• معرفی Introduction

• سوء استفاده از الگوریتم هیچ - نسخه ی نمایشی Abusing None Algorithm - Demo

• سوء استفاده از الگوریتم None با استفاده از Burpsuite - Demo Abusing None Algorithm using Burpsuite - Demo

• Signature Stripping Attack - Demo Signature Stripping Attack - Demo

• Bruteforcing HS256 Secret Key - Demo Bruteforcing HS256 Secret Key - Demo

• حمله تعویض - نسخه ی نمایشی Substitution Attack - Demo

• دفاع ها Defenses

نتیجه Conclusion

• نتیجه Conclusion

بخش جایزه bonus section

• سخنرانی پاداش Bonus lecture