Если на этот email не было выдано приглашение ранее, то новый пользователь появится под orgid текущим? При условии что мы поменяем только email. Всё равно форма регистрации считывает же всё с JWT, не проверяя подпись, а будет ли сам Keycloak проверять почтовый адрес.
Добрый день! Подскажите пожалуйста, а сработает ли вектор, если в JWT-токене изменить лишь email, не создавая приглашение на evil@beta? Проверяет ли ПО наличие приглашения на адрес, на который мы подменяем нагрузку токена? Таким образом обойтись только возможным сливом токена и получения первичного доступа. Спасибо!
Добрый день! Подскажите пожалуйста пару моментом: 1) Как сделать, чтобы эксплойт не убивал WSUS 2) Как вы поменяли пейлоад чтобы он менял пасс админа. Спасибо!
Даже учитывая то, что данный email не был в приглашении? Интересно) Спасибо!
Если на этот email не было выдано приглашение ранее, то новый пользователь появится под orgid текущим? При условии что мы поменяем только email. Всё равно форма регистрации считывает же всё с JWT, не проверяя подпись, а будет ли сам Keycloak проверять почтовый адрес.
Добрый день!
Подскажите пожалуйста, а сработает ли вектор, если в JWT-токене изменить лишь email, не создавая приглашение на evil@beta? Проверяет ли ПО наличие приглашения на адрес, на который мы подменяем нагрузку токена? Таким образом обойтись только возможным сливом токена и получения первичного доступа. Спасибо!
Добрый день! Подскажите пожалуйста пару моментом:
1) Как сделать, чтобы эксплойт не убивал WSUS
2) Как вы поменяли пейлоад чтобы он менял пасс админа.
Спасибо!
Хорошо, спасибо! Теперь буду знать :)