task 3

[MatbixB]

Zadanie 1

Dla klasy Book w projekcie Python przygotowano zestaw testów realizujących: testy poprawnych danych, testy niepoprawnych danych, testy związane z próbą wstrzyknięcia kodu SQL i kodu JavaScript oraz testy ekstremalne. Zmodyfikowano plik Dockerfile tak aby przed zbudowaniem obrazu zrealizowane zostały testy. Zgodnie z oczekiwaniami operacja docker build kończy się niepowodzeniem ze względu na brak zakończenia z powodzeniem wszystkich testów.

Zadanie 2

Zgodnie z poleceniem uzyskano token dla użytkownika Bob wykorzystując request none-obtain-token:
"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhY2NvdW50IjoiQm9iIiwicm9sZSI6IlVzZXIiLCJpYXQiOjE3Mzc1ODMxMjMsImF1ZCI6Imh0dHBzOi8vMTI3LjAuMC4xL2p3dC9ub25lIn0.kNLItEif7T25ChLbkvin2rLxCEWGTO40yMTTuVThVHA". W celu przeprowadzenia ataku w headerze ustawiono algorytm na "none", w payload zmieniono parametry "account" i "role" na "Administrator" oraz usunięto podpis uzyskując token:
"eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJhY2NvdW50IjoiQWRtaW5pc3RyYXRvciIsInJvbGUiOiJBZG1pbmlzdHJhdG9yIiwiaWF0IjoxNzM3NTg0MDMyLCJhdWQiOiJodHRwczovLzEyNy4wLjAuMS9qd3Qvbm9uZSJ9.". Następnie wysłano request none-send-token z przygotowanym tokenem.

Poprawka zabezpieczająca przed atakiem usuwa możliwość wyboru wartości none jako algorytmu.