447
Что общего у нуля, -1 и большого простого числа: Psychic Signatures в мире Java
Уязвимость CVE-2022-21449 или Psychic Signatures, которая была обнаружена в Java 15-18, позволяет обойти механизм проверки ECDSA-подписи и подделать исходное сообщение. Если приложение использует уязвимую версию Java для валидации JWT-токенов на базе алгоритма ES256, злоумышленник может получить доступ к приложению от лица любого пользователя. Автор этой статьи создал стенд, на котором можно протестировать все возможные векторы атаки.
N.B. Пост участвует в организованном нами совместно со Сбером конкурсе технических статей «Сезон Java».