Checklist

Low Hanging Fruits - Tools

• Executar low hanging fruits

• Força bruta no JWT

  • Hashcat

  • John the Ripper

• Verificações no JWT

  • JWT

  • JWT Pentest Tool

  • JWTLens

• Swagger Jacker

• wafw00f

Low Hanging Fruits - Checklist

• Uso de mesma chave de API em ambientes de produção e homologação

• Força bruta na assinatura JWT

• JWT contendo informações PII

• Verificações no JWT

• Ausência de cabeçalho

• Uso de cabeçalho depreciado

• Ausência de mecanismo contra força bruta

• Enumeração de usuários

• Flood de email no campo de redefinição de senha

• Ausência de WAF

• Acesso via IP diretamente

• Alterar tokens

• Mensagem de erros

• Trocar versões

• Requisições com métodos alterados

• Falta de e-mail de verificação no processo de registro

• Passar IDs numéricos em campos no formato UUID

• Passar wildcard no lugar de ID

• Passar array em campos

• Passar JSON em campos

• Uso de Basic Auth

• CORS Misconfiguration

• Token de sessão passado via GET

• Cookie de sessão sem a flag Secure habilitada

• Cookie de sessão sem a flag HttpOnly habilitada