Cracking JSON Web Tokens

Рет қаралды 54,348

Күн бұрын

00:00 intro
00:25 JWT primer
01:54 JWT vs SessionIDs
03:30 Code review
06:25 Testing our JWT
09:02 Cracking JWTs
11:38 Decode vs Verify
13:15 Further study
Pentests & Security Consulting: tcm-sec.com
Get Trained: academy.tcm-sec.com
Get Certified: certifications.tcm-sec.com
Merch: merch.tcm-sec.com
Sponsorship Inquiries: info@thecybermentor.com
📱Social Media📱
___________________________________________
Twitter: / thecybermentor
Twitch: / thecybermentor
Instagram: / thecybermentor
LinkedIn: / heathadams
TikTok: / thecybermentor
Discord: / discord
💸Donate💸
___________________________________________
Like the channel? Please consider supporting me on Patreon:
/ thecybermentor
Support the stream (one-time): streamlabs.com/thecybermentor
Hacker Books:
Penetration Testing: A Hands-On Introduction to Hacking: amzn.to/31GN7iX
The Hacker Playbook 3: amzn.to/34XkIY2
Hacking: The Art of Exploitation: amzn.to/2VchDyL
The Web Application Hacker's Handbook: amzn.to/30Fj21S
Real-World Bug Hunting: A Field Guide to Web Hacking: amzn.to/2V9srOe
Social Engineering: The Science of Human Hacking: amzn.to/31HAmVx
Linux Basics for Hackers: amzn.to/34WvcXP
Python Crash Course, 2nd Edition: amzn.to/30gINu0
Violent Python: amzn.to/2QoGoJn
Black Hat Python: amzn.to/2V9GpQk
My Build:
lg 32gk850g-b 32" Gaming Monitor:amzn.to/30C0qzV
darkFlash Phantom Black ATX Mid-Tower Case: amzn.to/30d1UW1
EVGA 2080TI: amzn.to/30d2lj7
MSI Z390 MotherBoard: amzn.to/30eu5TL
Intel 9700K: amzn.to/2M7hM2p
G.SKILL 32GB DDR4 RAM: amzn.to/2M638Zb
Razer Nommo Chroma Speakers: amzn.to/30bWjiK
Razer BlackWidow Chroma Keyboard: amzn.to/2V7A0or
CORSAIR Pro RBG Gaming Mouse: amzn.to/30hvg4P
Sennheiser RS 175 RF Wireless Headphones: amzn.to/31MOgpu
My Recording Equipment:
Panasonic G85 4K Camera: amzn.to/2Mk9vsf
Logitech C922x Pro Webcam: amzn.to/2LIRxAp
Aston Origin Microphone: amzn.to/2LFtNNE
Rode VideoMicro: amzn.to/309yLKH
Mackie PROFX8V2 Mixer: amzn.to/31HKOMB
Elgato Cam Link 4K: amzn.to/2QlicYx
Elgate Stream Deck: amzn.to/2OlchA5
*We are a participant in the Amazon Services LLC Associates Program, an affiliate advertising program designed to provide a means for us to earn fees by linking to Amazon.com and affiliated sites.

Пікірлер: 92

@crusader_ Жыл бұрын

Please Make an hour long video if need be. I'll watch it.

@IamFrancoisDillinger Жыл бұрын

Idc if a JWT video turned into an entire course, I'd buy it....and watch it. More JWT content!

@biplobmanna Жыл бұрын

+1 for more JWT content

@hafribilal Жыл бұрын

+10 for more JWT content

@SheeceGardazi Жыл бұрын

@SplitUnknown Жыл бұрын

Please make full deepdrive on jwt

@mfsbo Жыл бұрын

This is one of the best demo code I have seen with video explaining clearly. Keep doing more of these. ❤

@xjamps Жыл бұрын

JWT Deep dive please!! Thank you!

@G3TSH1TD0N3 Жыл бұрын

You're a great instructor. Keep it up

@MirkoVukusic Жыл бұрын

Very clear explanation. I'm all for deep dive too. Make it a series if needed.

@aaftabahmed6876 Жыл бұрын

yes , I am excited to see more content on this ..... Like you said header injection and all . I 'll be waiting for next video.

@pabloreydaniel Жыл бұрын

you are awesome!!. very clear and informative. deep dive into jwts!!. keep up!!.

@philipschlesinger7595 Жыл бұрын

Yes please make a deep dive of JWT attacks!

@hashamkhan7951 Жыл бұрын

Yes, we love watching more videos

@youcef2851 Жыл бұрын

that was great and simple thank you

@youcef2851 Жыл бұрын

@@darkside_hackers.... you guys still exist ?

@cervece41 Жыл бұрын

I would definitely watch a jwt deep dive, looking forward to it!!

@SonAyoD Жыл бұрын

Super insightful! We need a deep dive!

@a5tr00 Жыл бұрын

yes please! Btw, very comprehensive way of explaining things! 👍

@Kinoti9 Жыл бұрын

Great video, excellent explanation, I would definitely watch however long the video might be.

@nagrajcool Жыл бұрын

Yes would love more content on JWT

@SlowMowLife Жыл бұрын

Yes we would like to, thank you for the effort!

@valghyna7668 Жыл бұрын

Nicely put together

@nightninja8128 Жыл бұрын

3 hour video about JWTs sounds great. Also, what application were you using to test?

@tusharabbott9946 Жыл бұрын

Would love to see JWT Deep Dive

@Dygear Жыл бұрын

This is a great video! Do you have any experience using JWTs in place of cookies?

@faisalalhoqani6151 Жыл бұрын

It's a great demonstration we will be happy if you go deep into it. We have to know how to protect our work.

@JohnoScott Жыл бұрын

This is an important topic to me. Would love another video that goes deeper.

@COLMANRYAN62 3 ай бұрын

Great Video!

@ca7986 Жыл бұрын

Amazing content! 🤟

@dimuthdeja7859 Жыл бұрын

Good explained it. Please make more videos. I am not miss it.

@tiagosutter8821 Жыл бұрын

Great content, thank you

@vinod.j7469 Жыл бұрын

Yes sir make a jwt deepdown I loved to watch, its very useful to me

@Dude29 Жыл бұрын

Great video!

@friedpizza262 Жыл бұрын

Always using jwts but never taken the time to learn more about them. I'm all in for a deep dive!

@ahmed_pinger Жыл бұрын

Awesome Video ♥️♥️, please deep dive video

@pentestingpurpose9571 Жыл бұрын

Yes please, those videos are very usefull.

@e-francis Жыл бұрын

Willing to watch a JWT deep dive

@BHFJohnny Жыл бұрын

I am absolutely for a JWT deep dive 👍

@Vlad1998996 Жыл бұрын

go on. It's very useful

@ibrahimmuhammad4194 Жыл бұрын

Thank you!

@angryman9333 Жыл бұрын

Wow idk it was the fact u were using JS or im already familiar with this kinda stuff, all i know i really enjoyed watching.

@oah8465 Жыл бұрын

fantastic video, can you share the git-hub repo so we can tinker around with the code

@RonalsonFilho Жыл бұрын

JWT deep dive FTW!

@reubenroyal4234 Жыл бұрын

We are willing to watch it and have the patience, so please make it lol

@bonesseben5682 Жыл бұрын

Please do!!!! So cool. I promise to watch ;-)

@briantoo4390 10 ай бұрын

Nice Video

@OpeLeke Жыл бұрын

great tutorial

@ogunsanmimichael Жыл бұрын

Quick question, if I get access to someone else's token and use this token to make requests to a server, will the server recognise that I am not the original owner of the token?

@kodukoders Жыл бұрын

YEs i want to watch it

@karthiklingala5673 Жыл бұрын

Please make a video on algorithm confusion and header injection

@chinmaydivekar8837 Жыл бұрын

Please make deep video on JWT security testing.

@hazed69 Жыл бұрын

We would love to watch jwt deep dive

@OMER3-1-3 Жыл бұрын

More JWT content!

@VishalPatelblogjocker 10 ай бұрын

What is solution to prevent brute force?

@TheGameCrafter Жыл бұрын

I'd watch it

@rakhisingh9797 Жыл бұрын

bro pls tell what can do to secure jwt token?

@sergeantosiris Жыл бұрын

Awesome

@2332Werter 6 ай бұрын

please, make the complete vdeo.

@1nf1n7y Жыл бұрын

More JTW please

@OneIDtech Жыл бұрын

Make a video on how best to secure jwt from these attacks.

@whiteshadow7810 Жыл бұрын

Thanks dude , but i'm as a developer , we create secret key from hash 32bite so t think is to hard to crack JWT

@ukaszgeras6600 Жыл бұрын

more jwt. please

@abhishekmorla1 Жыл бұрын

JWT deep dive please

@rodolfocabralneves8279 Жыл бұрын

How about I use JWT in a HTTPS connection ?

@d3line Жыл бұрын

Https protects against random computers intercepting the traffic, but does nothing to protect your cookies/jwt/whatever else from user manipulation

@souvickdas5564 Жыл бұрын

In algorithm part we can exploit by specifying "no algorithm"

@st8113 Жыл бұрын

The widely used jwt libraries force you to specify an algorithm for verification.

@rosehacksyoutube Жыл бұрын

More JWT

@PAIN_HANDLE Жыл бұрын

Can you make a video on Linux server administrator

@PAIN_HANDLE Жыл бұрын

In depth

@angryman9333 Жыл бұрын

Please Deep Dive JWT

@SplitUnknown Жыл бұрын

♥️

@stephenarthur1119 Жыл бұрын

5:02 *request :)

@jayeshtharani Жыл бұрын

How to prevent JWT from decoding?

@st8113 Жыл бұрын

JWTs are meant to be decoded. You CAN encrypt an entire JWT, but this isn't super common.

@jayeshtharani Жыл бұрын

@@st8113 thanks.

@b.i_khalil Жыл бұрын

JWT DEEP DIVE PLEASE❤

@gosnooky Жыл бұрын

I feel better now that my application uses a 64-character alphanumeric string

@yaswanthkumar409 Жыл бұрын

JWT deep dive

@mikehill3426 Жыл бұрын

Vocal fry is a thing.

@privilegedesign8745 Жыл бұрын

Make long video jwt

@gihanrangana6248 Жыл бұрын

what if we encrypt the jwt token with crypto ex: const token = crypto.AES.encrypt(jwt.sign({...payload},'secret'),'enc-secret') const decode = crypto.AES.decrypt(token,'enc-secret') just an idea

@gihanrangana6248 Жыл бұрын

or we can encrypt the payload and put it inside the token

@d3line Жыл бұрын

@@gihanrangana6248 well, you get an encrypted and signed thing. What for? The issue is not "not enough encryption", the issue is weak secrets. And generally bad design of JWT and JWT libraries, but that's regarding other attacks. I really dislike JWTs, way too large of an attack surface, and a huge issue with revoking access once a token is granted, but too much hype.