Security 如何更改JWT有效负载?
我正在做渗透测试,我有这个JWT。Security 如何更改JWT有效负载?,security,oauth-2.0,jwt,penetration-testing,Security,Oauth 2.0,Jwt,Penetration Testing,我正在做渗透测试,我有这个JWT。 它由服务器端的私钥签名。我需要改变有效载荷以便进行渗透测试。所以我会改变有效载荷。。。例如:角色:[ROLE\u ADMIN]而不是当前内容。我该怎么做 就渗透测试而言,必须对其进行重新设计,以及如何进行?我应该如何重新签名?使用与服务器相同的密钥?是的,它需要相同的密钥。当然,有可能会发生哈希冲突,这意味着两个不同的有效负载哈希为相同的值,因此也可以进行利用,但该有效负载可能不是您想要的。所以测试应该是这样的:解码JWT,更改负载,用服务器密钥编码JWT,然
它由服务器端的私钥签名。我需要改变有效载荷以便进行渗透测试。所以我会改变有效载荷。。。例如:角色:[ROLE\u ADMIN]而不是当前内容。我该怎么做 就渗透测试而言,必须对其进行重新设计,以及如何进行?我应该如何重新签名?使用与服务器相同的密钥?是的,它需要相同的密钥。当然,有可能会发生哈希冲突,这意味着两个不同的有效负载哈希为相同的值,因此也可以进行利用,但该有效负载可能不是您想要的。所以测试应该是这样的:解码JWT,更改负载,用服务器密钥编码JWT,然后发送回服务器?对吗?还有其他与JWT相关的测试可以完成吗?是的,这个序列肯定会正确地更改负载(就像服务器自己做的一样)。