[陇剑杯 2021]

jwt

JWT包含三个部分，每部分之间通过.分隔：

Header（头部）：描述JWT的元信息，如签名算法。

Payload（载荷）：存储具体的用户信息，如用户ID、权限等。Signature（签名）：确保JWT未被篡改。

token格式如下：

Header.Payload.Signature

（1）

题目描述:昨天，单位流量系统捕获了⿊客攻击流量，请您分析流量后进⾏回答：该⽹站使⽤了( )认证方式？(如有字母则默认小写)

首先进行协议分级

发现cookie，token的值是JWT（由三段. 分隔的Base64编码数据构成）

Set-Cookie:

token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODYsIk1hcENsYWltcyI6eyJhdW QiOiJhZG1pbiIsInVzZXJuYW1lIjoiYWRtaW4ifX0.

即答案为jwt

（2）

题目描述：黑客绕过验证使用的jwt中，id和username是___。（中间使用#号隔开，例如1#admin）解码JWT的Payload部分

{"alg":"HS256","typ":"JWT"}{"id":10086,"MapClaims": {"aud":"admin","username":"admin"}}