偵測到 JSON Web Token
info Web App Scanning Plugin ID 112686
語系:
概要
偵測到 JSON Web Token說明
JSON Web Token (JWT) 是一種開放標準 (RFC 7519),它定義了用於在 JSON 物件的各方之間安全地傳輸宣告的資料結構。視應用程式的安全性注意事項而定,JSON Web Token 可具現化為 JSON Web 簽章 (JWS) 或 JSON Web 加密 (JWE)。JSON Web 簽章型權杖最常用於 API 實作,並以三個以句點分隔的 base64 URL 編碼部分構建:
- JSON 物件簽署和加密 (JOSE) 標頭:至少描述用於簽署或加密 (alg) 的演算法,以及所處理內容的類型 (typ)。對於 JSON Web Token,類型通常會設為「JWT」。
- 承載:包含共用宣告的 JSON 物件。宣告可屬於三個類別:註冊 (根據規格)、公開或私人項目,其名稱在宣告集中必須是唯一的。
- 簽章:使用標頭中的特定演算法和秘密或私密金鑰計算得出。這可確保 JSON Web Token 的完整性。
掃描程式偵測到一個 JSON Web Signature 型權杖,其中包含輸出中提供的資訊。
另請參閱
https://blog.angular-university.io/angular-jwt/
https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet.html
Plugin 詳細資訊
嚴重性: Info
ID: 112686
類型: remote
系列: Web Applications
已發布: 2021/2/8
已更新: 2023/8/29
掃描範本: api, basic, full, pci, scan