Все пути
Путь golang 7 модулей

JWT & Security Token в Go: Разоблачение магии

JWT — это популярно, но крайне опасно в неумелых руках. Изучите, как злоумышленники подделывают подписи (alg: none), взламывают слабые секреты и почему хранить токены в LocalStorage — это преступление уровня увольнения.

01

Модуль 1: Введение в JWT: Анатомия и 'alg: none'

0/6
  • 1. Анатомия JWT: Header, Payload, Signature
    Pro
  • 2. Алгоритмы подписи (HMAC vs RSA/ECDSA)
    Pro
  • 3. Анатомия уязвимости: 'alg': 'none'
    Pro
  • 4. JWT vs Сессии: Когда что использовать
    Pro
  • 5. Топ-5 ошибок Go-разработчиков с JWT
    Pro
  • 6. Проверка основ JWT
    Pro
02

Модуль 2: Атаки на JWT: Взлом и подделка

0/9
  • 1. Брутфорс слабых секретных ключей
    Pro
  • 2. Key Confusion: HMAC vs RSA
    Pro
  • 3. Инъекции в заголовок 'kid'
    Pro
  • 4. Обход через заголовки 'jku' и 'jwks'
    Pro
  • 5. Валидация Claims: exp, iss, aud и другие
    Pro
  • 6. Защита от alg:none и Auth Bypass
    Pro
  • 7. Replay-атака на JWT: jti как защита
    Pro
  • 8. JWT Attacks Quiz
    Pro
  • EXP FIX
    9. Практика: Подделка токена администратора
    hard
    Pro
03

Модуль 3: Безопасное хранение на фронтенде

0/4
  • 1. LocalStorage vs Cookies: Где смерть?
    Pro
  • 2. HttpOnly, Secure и защита от CSRF
    Pro
  • 3. XSS и кража JWT из localStorage
    Pro
  • 4. JWT Storage Quiz
    Pro
04

Модуль 4: Жизненный цикл JWT: Refresh, Revocation, Микросервисы

0/6
  • 1. Refresh Tokens: Жизненный цикл
    Pro
  • 2. Отзыв JWT: Blacklisting и Whitelisting
    Pro
  • 3. Key Rotation: Ротация ключей без downtime
    Pro
  • 4. Logout с JWT: Как убить stateless-токен
    Pro
  • 5. JWT в микросервисах: Service-to-Service Auth
    Pro
  • 6. JWT Lifecycle Quiz
    Pro
05

Модуль 5: Weak HMAC Secret

0/4
  • 1. Брутфорс слабых HMAC-секретов (hashcat, jwt_tool)
    Pro
  • 2. Защита: Сильные ключи и ротация
    Pro
  • 3. Проверка знаний: Weak HMAC Secret
    Pro
  • EXP FIX
    4. Практика: Подбор JWT-секрета
    medium
    Pro
06

Модуль 6: RS256→HS256 Key Confusion

0/5
  • 1. Key Confusion: Подпись публичным ключом
    Pro
  • 2. Защита: jwt.WithValidMethods()
    Pro
  • 3. RSA-ключи для JWT: Генерация, хранение, JWKS
    Pro
  • 4. Проверка знаний: Key Confusion
    Pro
  • EXP FIX
    5. Практика: Подделка токена через Key Confusion
    hard
    Pro
07

Модуль 7: Итоговый обзор и DevSecOps

0/7
  • 1. Полная карта JWT-атак
    Pro
  • 2. Лучшие практики JWT в Go
    Pro
  • 3. Реальные CVE и инциденты
    Pro
  • 4. Defense-in-Depth: Многоуровневая защита JWT
    Pro
  • 5. Автоматическое обнаружение JWT-уязвимостей в CI/CD
    Pro
  • 6. Итоговый тест: JWT Security
    Pro
  • 7. DevSecOps Quiz: Автоматизация обнаружения
    Pro
🚧 Сайт в разработке. Полный функционал пока недоступен. Все вопросы — support@hackandfix.ru