Czasem, między większymi kursami, robię krótszy kurs w ramach „przegryzki”. Ma to swój cel – uniknąć zmęczenia głowy przy pracy z dłuższym kursem. I tak trafiłam na kurs z tokenów JWT od Kacpra Szurka.
Czy wiecie, czym są tokeny JWT? Dopóki nie zrobiłam kursu nie wiedziałam tego 😉 A więc, tokeny JWT, jak możemy dowiedzieć się w Wikipedii, to „otwarty standard przemysłowy, definiujący sposób wymiany danych komputerowych między określonymi stronami za pośrednictwem dokumentów JSON”.
Zadaniem tokena JWT jest zapewnić bezpieczeństwo w komunikacji. Może się on przydać m.in. w sytuacji, gdy mamy zalogowanego użytkownika i chcemy ułatwić mu dostęp do usług po zalogowaniu (autoryzacja), a także przy wymianie informacji (za JWT.io). Bezpieczeństwo w przekazywaniu danych zapewnia odpowiednia konstrukcja tokenu oraz wybrany standard szyfrowania. Albo nie zapewnia, o czym można się dowiedzieć, przerabiając kurs od Kacpra Szurka.
Kurs ten zajmuje się kompleksowo tematem tokenów JWT oraz tym, w jaki sposób można je złamać. Na początku dowiadujemy się, czym jest wspomniany token, kiedy go się stosuje, a także w jaki sposób jest konstruowany. Poznajemy również narzędzia, dzięki którym możemy sprawdzić stan zabezpieczeń tokenu. Autor kursu proponuje dwie ścieżki nauki: za pomocą narzędzi webowych oraz specjalistycznych narzędzi, które udostępnia w obrazie dockera. Jako osoba początkująca pozostałam przy nauce w oparciu o narzędzia webowe.
W kursie miałam też możliwość krok po kroku zapoznawać się z najważniejszymi podatnościami CVE dla tokenu JWT, jakie na przestrzeni lat zostały zidentyfikowane. Nie był to jednak – na szczęście! – wyłącznie teoretyczny wykład. Autor stworzył zestaw ćwiczeń umożliwiających samodzielne „łamanie” tokenów.
Przyznam, że hackowanie tokenów JWT w ćwiczeniach było dla mnie wspaniałą zabawą. Kiedy nie mogłam sobie z czymś poradzić mogłam sięgnąć po podpowiedzi, jednak większość ćwiczeń byłam w stanie wykonać bez większego problemu.
Tak, jak wspomniałam we wstępie, kurs Bezpieczeństwo JWT był dla mnie czymś na kształt „przegryzki” między innymi, większymi kursami. Była to bardzo wyśmienita „przegryzka”. Kacper Szurek ma dar tworzenia zrozumiałych treści. Poza tym bardzo mi się podobały ćwiczenia praktyczne. Czułam się jak dziecko, które dostało zestaw plażowy all inclusive i może zbudować najlepszy na plaży zamek 😀
Małą łyżką dziegciu w beczce zadowolenia było to, że niektóre linki czy ćwiczenia nie działały tak, jak powinny. Podejrzewam, że gdybym działała na udostępnionym dockerowym środowisku mogłabym nadrobić te ćwiczenia bez trudu.
Kurs zdecydowanie polecam osobom, które chcą się dowiedzieć więcej o tokenach JWT i o tym, jak się zabezpieczyć przed największymi problemami z nimi związanymi. Polecam go także tym, którzy chcą sprawdzić, czy cybersecurity jest dla nich, a jeśli tak, to jaka działka. Kurs ten pozwala poznać nieco lepiej działkę bezpieczeństwa niektórych elementów aplikacji, a także kwestię podatności i ich znajdywania.