01
Модуль 1: Введение в JWT
Структура JWT, алгоритмы подписи, библиотека jsonwebtoken и общие принципы безопасности токенов.
- 1. Структура JWT и библиотека jsonwebtokenPro
- 2. Алгоритмы подписи — HMAC, RSA, ECDSAPro
- 3. Проверка знанийPro
Путь nodejs 6 модулей
Node.js JWT Security: None Algorithm, Weak Secret и Key Confusion
Полное руководство по безопасности JSON Web Token в Node.js-приложениях. Вы изучите структуру JWT, разберёте три критические уязвимости — обход через алгоритм none, брутфорс слабых секретов и Key Confusion (RS256→HS256) — и научитесь внедрять надёжную защиту с помощью пакета jsonwebtoken.
02
Модуль 2: None Algorithm Attack
Обход подписи JWT через алгоритм none и защита через явное указание допустимых алгоритмов.
- 1. Атака — обход подписи через alg:nonePro
- 2. Защита — явное указание algorithmsPro
- 3. Проверка знанийPro
- 4. Практика — подделка токена через alg:nonemediumPro
03
Модуль 3: Weak Secret — брутфорс HMAC
Подбор слабого секретного ключа HMAC и защита через криптографически стойкие ключи.
- 1. Атака — брутфорс HMAC-секретаPro
- 2. Защита — crypto.randomBytes и ротация ключейPro
- 3. Проверка знанийPro
- 4. Практика — подбор JWT-секретаmediumPro
04
Модуль 4: Key Confusion — RS256 → HS256
Подпись токена публичным ключом через подмену алгоритма и защита через строгую валидацию.
- 1. Атака — подмена RS256 на HS256Pro
- 2. Защита — строгое указание algorithms:['RS256']Pro
- 3. Проверка знанийPro
- 4. Практика — Key Confusion атакаhardPro
05
Модуль 5: Итоговый обзор
Лучшие практики JWT, реальные CVE, финальный обзор пути и чек-лист безопасности токенов.
- 1. JWT Best Practices и реальные CVEPro
- 2. Финальный обзор путиPro
- 3. Финальный тестPro
06
Модуль 6: Capstone — Defense-in-Depth и автоматизация
Сводная архитектура защиты JWT в четырёх слоях и автоматизация обнаружения через SAST, DAST, runtime monitoring и lifecycle-управление токенами.
- 1. Defense-in-Depth — четыре слоя защиты JWTPro
- 2. Detection Automation — SAST, DAST, runtime, lifecyclePro
- 3. Capstone-тестPro