Zadanie 3 - Unittest i JWT

[Nexonus]

Task 3 - Konarski Jan
Zadanie 1: Przygotowanie testów jednostkowych:

W zadaniu 1 przygotowano testy jednostkowe badające, poprawne dane, niepoprawne, ekstremalne. Po dodaniu polecenia w Dockerze do uruchomieniu testów, pliku nie można zbudować z racji na to, że nie przeszedł testów. (Zgodnie z założeniami zadania.)

Zadanie 2: Token JWT oraz usunięcie podatności:

Token JWT służy w celu uwierzytelniania użytkownika do API. Zakodowan jest (nie zaszyfrowane!) przy pomocy Base64, z racji na to, możemy taki ciąg znaków edytować i podstawiać. Zaglądając do kodu widzimy, że algorytm akceptuje dwie metody szyfrowania albo HS256, albo None, czyli bez szyfrowania. Podstawiamy jako pierwszą opcję none, a końcowy ciąg danych (hash) usuwamy, aby algorytm przepuścił próbę zalogowania się do systemu. W tej sytuacji wystarczy podmienić nazwę i ID użytkownika na konto Administratora (potencjalnie z wycieku danych), aby poprawnie zalogować się do systemu. Usunięcie podatności wymaga usunięcia metody uwierzytelniania bez algorytmu szyfrowania. Po takim zabiegu próba ataku zostaje uniemożliwiona.