JWT ( json web token ) ![[Pasted image 20250707104217.png]] Les JWT étant principalement utilisés dans les mécanismes d’authentification, de gestion de session et de contrôle d’accès La spécification JWT est étendue par les spécifications JSON Web Signature (JWS) et JSON Web Encryption (JWE), qui définissent des méthodes concrètes d’implémentation des JWT. L’un des types de jetons les plus courants est le jeton Web JSON (JWT), qui est transmis via l’ Authorization: Beareren-tête. Les JWT sont des jetons autonomes permettant de transmettre des informations de session de manière sécurisée. ...
Posts
[[JWT attacks]] : JWTs ( JSON Web Token ) Input Validation Mechanisms Blacklisting Whitelisting Cross-Site Scripting SQL Injection XML External Entity Attack Cross-Site Request Forgery Encoding, Encryption and Hashing Authentication Related Vulnerabilities Brute force Attacks Password Storage and Password Policy Understanding of OWASP Top 10 Vulnerabilities Security Best Practices and Hardening Mechanisms Same Origin Policy Security Headers TLS security TLS Certificate Misconfiguration Symmetric and Asymmetric Ciphers Server-Side Request Forgery Authorization and Session Management Related Flaws – Insecure Direct Object Reference (IDOR) Privilege Escalation Parameter Manipulation attacks Securing Cookies Insecure File Uploads Code Injection Vulnerabilities Business Logic Flaws Directory Traversal Vulnerabilities Security Misconfigurations Information Disclosure Vulnerable and Outdated Components Common Supply Chain Attacks and Prevention Methods
Multi-Factor Authentication désigne tout processus d’authentification nécessitant au moins deux facteurs pour vérifier l’identité d’un utilisateur. Types de facteurs d’authentification Le MFA combine généralement deux ou plusieurs types de qualifications différents issues des catégories suivantes : quelque chose que vous savez, quelque chose que vous possédez, quelque chose que vous êtes, un endroit où vous vous trouvez et quelque chose que vous faites. Quelque chose que vous savez Il peut s’agir d’un mot de passe, d’un code PIN ou de toute autre information à mémoriser. Quelque chose que vous avez Il peut s’agir de votre téléphone avec une application d’authentification, d’un jeton de sécurité, voire d’une carte à puce. Quelque chose que vous êtes Cela fait appel à la biométrie, notamment aux empreintes digitales, à la reconnaissance faciale ou à la reconnaissance de l’iris. Quelque part où tu es Cela concerne votre adresse IP d’origine ou votre géolocalisation. Quelque chose que vous faites Ce type d’authentification est généralement utilisé dans les applications qui limitent l’interaction avec les robots, comme les pages d’inscription. L
L’injection SQL aveugle se produit lorsqu’une application est vulnérable à l’injection SQL, mais ses réponses HTTP ne contiennent pas les résultats de la requête SQL pertinente ni les détails des erreurs de base de données.