😈 Подписанные веб-токены широко используются для аутентификации и авторизации без сохранения состояния в вебе. Самый популярный и знакомый всем формат — JSON Web Tokens (JWT), но за его пределами процветает разнообразная экосистема стандартов, каждый из которых имеет собственную реализацию хранения данных и безопасности.

Чтобы помочь оценить их, команда PortSwigger выпустила новое опенсорсное расширение SignSaboteur. Это расширение Burp Suite, которое поддерживает различные типы токенов, включая Django, Flask и Express, оно позволяет редактировать, подписывать, проверять и атаковать эти токены.

Инструмент обеспечивает автоматическое обнаружение и встроенное редактирование токенов в HTTP-запросах/ответах и ​​веб-сокетах. Под капотом — готовые словари для секретных ключей и соли по умолчанию, а также поддержка строк в JSON-кодировке и кастомных словарей. Вы также можете сохранять известные ключи для будущих атак и изменять подписанные токены в разделах Proxy и Repeater.

🕷Ключевые фичи:

✅ Автоматическое обнаружение и редактирование: встроенное редактирование токенов в HTTP-запросах/ответах и веб-сокетах.
✅ Готовые словари: включают в себя секретные ключи и соли по умолчанию, а также поддержку кастомных словарей и строк в JSON-кодировке.
✅ Брутфорс атаки: автоматизирует атаки методом перебора с использованием известных ключей и различных методов вывода.
✅ Атаки для обхода авторизации: поддерживает множественные атаки байпаса.
✅ Режим неизвестных подписанных строк: обнаруживает и анализирует неизвестные подписанные токены с использованием различных функций хеширования.

Читать подробнее:
🔗 Обзор на YesWeHack
🔗 Анонс на PortSwigger
🔗 GitHub

#инструменты