「AquaCommerce!」は、Pythonフレームワークを用いてJSON Web Token(JWT)の脆弱性についてテストされました。
コードは、空のペイロードと署名のないヘッダーを返すコマンドを介して実行されました。
これにより、攻撃者は権限なしでアプリケーションの管理パネルにアクセスできました。
しかし、このトークンはSQLis攻撃に対して脆弱であると報告されています。
注目すべき点として、このケースで使用されたAPIは、サーバー側でのJWTインジェクションを許容します。
nginxは、広く普及しているリバースプロキシサービスです。
コメント