İçeriğe atla
ÖzelliklerFiyatlandırmaİş OrtaklığıBlogYardımHakkımızdaİletişim
BaşlaGiriş Yap
Bloga Dön
industry2026-05-236 dk okuma

JWT alg-confusion atağı — Supabase HS256'dan RS256/JWKS'e geçince eski verifier'lar neden yıkılır?

JWT header'ı decode etmeyen verifier'lar `alg=none` ve `alg-confusion` saldırılarına açık. Supabase'in JWKS migration'ı yaklaşırken HS256 hardcoded olan kodlar attacker'a yetkisiz access token verir. thMenu'nun PR #521 ile shipped olan üç-katmanlı defansı.

th

thMenu Ekibi

thmenu.com

Faydalı buldunuz mu? Paylaşın.

İlgili makaleler

🔻
industry

Müşteri Aboneliğini Düşürünce Eski Özellikler Ne Olur? — SaaS Sessiz Feature-Drift Problemi

Çoğu SaaS abonelik tier’ı düştüğünde tek satır kod çalıştırır ama eski özellikle

📒
industry

Her bakiye değişikliğinin neden bir 'journal row'u olmalı? — SaaS finansal audit'in temel taşı

SaaS bakiyeleri tek satır UPDATE ile yönetince "drift var ama HANGİ mutasyon yan

🎟️
industry

Aynı kupon, 1000 kullanım — restoran promo kodu nasıl 10x sömürülür?

max_uses=100 koyduğunuz kupon 3 haftada 947 redemption görüyor — %847 overshoot.