Hello there, ('ω')ノ

 

存在しないjwtn3d@juice-sh.opになりすまして。

署名されていないJWTトークンを偽造しなさいと。

 

 

既存ユーザにログインして。

 

 

リクエストをリピータへ。

 

JWTは、３ブロックで構成されていて。

　https://jwt.io/

 

今回は、HEADER.PAYLOAD.で構成して置き換えることに。

 

 

まずは、HEADER部をデコードして確認して。

　eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9

　⇩

　{"typ":"JWT","alg":"RS256"}

 

 

PAYLOAD部をデコードして。

メールアドレスを変更したものをエンコードして。

最後の=を削除して。

 

 

JWTを置き換えて、Sendするとうまくいかず。

　HEADER部.PAYLOAD部.(なし)

 

 

HEADER部のalgを変更してエンコードして。

=を削除したものを。

　{"typ":"JWT","alg":"none"}

　⇩

　eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0=

 

 

JWTと置き換えてSendすると。
これもうまくいかず。

下記のヘッダを削除して、Sendすると。

　X-User-Email: user@mail.com

 

 

ようやく、うまくいって。

ちなみにCookieの値はトークンと同じですが変更する必要はなくて。

 

 

クリアできた。

 

 

Best regards, (^^ゞ