JSON Web Token 弱式密碼
high Web App Scanning Plugin ID 112697
語系:
概要
JSON Web Token 弱式密碼說明
可以簽署 JSON Web Token,以防止資料竄改。應用程式會使用非對稱或對稱簽署演算法來計算權杖資料的簽章,然後權杖解碼期間進行驗證,以確保其完整性。使用對稱式演算法時,系統會使用所選的 HMAC 函式和秘密金鑰建立簽章。如果使用弱式金鑰,就很容易遭受暴力密碼破解攻擊,讓攻擊者能夠以應用程式身分操控和簽署權杖。視權杖使用方式而定,攻擊者可利用此弱點來偽造有效權杖並模擬其他使用者,或取得進一步的權限。
解決方案
用於簽署應用程式中 JSON Web Token 的秘密金鑰必須更強 (長且隨機),以防攻擊者透過暴力密碼破解攻擊來擷取該金鑰。請注意,JSON Web 演算法標準 (RFC 7518) 將最小金鑰長度定義為等於與 HMAC 演算法一起使用的雜湊函式的大小 (以位元為單位)。另請參閱
https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet.html
https://medium.com/101-writeups/hacking-json-web-token-jwt-233fe6c862e6
https://medium.com/swlh/hacking-json-web-tokens-jwts-9122efe91e4a
Plugin 詳細資訊
嚴重性: High
ID: 112697
類型: remote
系列: Web Applications
已發布: 2021/2/11
已更新: 2024/1/3
掃描範本: api, basic, full, pci, scan
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: High
基本分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: High
基本分數: 7.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
CVSS 評分資料來源: Tenable