Esta práctica de laboratorio usa un mecanismo basado en JWT para manejar sesiones. El servidor admite la jkuparámetro en el JWT encabezado Sin embargo, no comprueba si la URL proporcionada pertenece a un dominio de confianza antes de obtener la clave.
Para resolver el laboratorio, forje un JWT que le dé acceso al panel de administración en /admin, luego elimine el usuario carlos.
Puede iniciar sesión en su propia cuenta con las siguientes credenciales: wiener:peter
Consejo
Recomendamos familiarizarse con cómo trabajar con JWT en Burp Suite antes de intentar este laboratorio.
![](https://i.ytimg.com/vi/9ASNjgFSB88/maxresdefault.jpg)