JWT包含三个部分,每部分之间通过.分隔:
Header(头部):描述JWT的元信息,如签名算法。
Payload(载荷):存储具体的用户信息,如用户ID、权限等。Signature(签名):确保JWT未被篡改。
token格式如下:
Header.Payload.Signature
题目描述:昨天,单位流量系统捕获了⿊客攻击流量,请您分析流量后进⾏回答:该⽹站使⽤了( )认证方式?(如有字母则默认小写)
首先进行协议分级
发现cookie,token的值是JWT(由三段. 分隔的Base64编码数据构成)
Set-Cookie:
token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODYsIk1hcENsYWltcyI6eyJhdW QiOiJhZG1pbiIsInVzZXJuYW1lIjoiYWRtaW4ifX0.
即答案为jwt
题目描述:黑客绕过验证使用的jwt中,id和username是___。(中间使用#号隔开,例如1#admin)解码JWT的Payload部分
{"alg":"HS256","typ":"JWT"}{"id":10086,"MapClaims": {"aud":"admin","username":"admin"}}
得到id:10086;usename:admin