Путь php 5 модулей

PHP JWT Security: None Algorithm, Weak Secret и Key Confusion

Углублённый курс по безопасности JWT в PHP. Изучите структуру JWT, библиотеку firebase/php-jwt, атаки None Algorithm, брутфорс слабых секретов HMAC, Key Confusion (RS256→HS256) и современные методы защиты.

Модуль 1: Введение в JWT в PHP

Структура JWT, библиотека firebase/php-jwt, ручная работа с JWT, типичные ошибки.

0/3

1. JWT в PHP: структура, библиотеки и механика
Pro
2. Обзор методов защиты
Pro
3. Тест: Введение в JWT
Pro

Модуль 2: None Algorithm

Атака подмены алгоритма на none, обход верификации подписи, защита через явное указание алгоритмов.

0/4

1. Атака None Algorithm: обход подписи JWT
Pro
2. Защита: явное указание алгоритмов в firebase/php-jwt
Pro
3. Тест: None Algorithm
Pro
EXP FIX
4. Практика: None Algorithm
medium
Pro

Модуль 3: Weak Secret

Брутфорс HMAC-секрета через hashcat/john, словарные атаки, защита через random_bytes(32).

0/4

1. Брутфорс HMAC-секрета JWT
Pro
2. Защита: random_bytes(32) и безопасное хранение
Pro
3. Тест: Weak Secret
Pro
EXP FIX
4. Практика: Weak Secret
easy
Pro

Модуль 4: Key Confusion (RS256→HS256)

Атака подмены алгоритма RS256→HS256, использование публичного ключа как HMAC-секрета, защита через whitelist алгоритмов.

0/4

1. Key Confusion: подмена RS256 на HS256
Pro
2. Защита: whitelist алгоритмов в decode()
Pro
3. Тест: Key Confusion
Pro
EXP FIX
4. Практика: Key Confusion
hard
Pro

Модуль 5: Итоговый обзор

Best practices JWT в PHP, сравнение библиотек, реальные CVE, чеклист безопасности.

0/4

1. Итоговый обзор: JWT Security в PHP
Pro
2. Defense-in-Depth: многослойная защита
Pro
3. Автоматизация обнаружения: SAST и DAST
Pro
4. Финальный тест: JWT Security
Pro