偵測到 JSON Web Token
info Web App Scanning Plugin ID 112686
語言:
概要
偵測到 JSON Web Token說明
JSON Web Token (JWT) 是一種開放標準 (RFC 7519),它定義了用於在 JSON 物件的各方之間安全地傳輸宣告的資料結構。視應用程式的安全性注意事項而定,JSON Web Token 可具現化為 JSON Web 簽章 (JWS) 或 JSON Web 加密 (JWE)。JSON Web 簽章型權杖最常用於 API 實作,並以三個以句點分隔的 base64 URL 編碼部分構建:
- JSON 物件簽名與加密(JOSE)標頭:描述用於簽署或加密(alg)的演算法及所處理內容的類型(typ)。對於 JSON Web Token,類型通常會設為「JWT」。
- 有效載荷:包含要分享權利要求的 JSON 物件。權利要求可分為三類:註冊(來自規範)、公開或私有,且其名稱必須在權利要求集中中唯一。
- 簽名:透過標頭中的特定演算法及秘密或私鑰計算。這可確保 JSON Web Token 的完整性。
掃描程式偵測到一個 JSON Web Signature 型權杖,其中包含輸出中提供的資訊。
另請參閱
https://blog.angular-university.io/angular-jwt/
https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet.html
Plugin 詳細資訊
嚴重性: Info
ID: 112686
類型: Check Based
系列: Web Applications
已發布: 2021/2/8
已更新: 2026/2/11
掃描範本: api, basic, full, mcp, pci, scan