非JWT有多容易被利用？

Question

最近的渗透测试发现，我的组织正在使用JWT身份验证方案，该方案允许“无”算法。这在现实世界中有多容易被利用？

据我了解，攻击者可以利用此问题将有效负载更改为另一个用户，然后使用将被接受的none算法对其进行“签名”，但是唯一可以枚举的实际有效载荷信息是主题和随机值。

攻击者是否能够强行使用主题字段并访问另一个人的帐户？这有多现实？

Answer 1

你的问题有两个方面：

• 如果一个JWT令牌可以用"none“算法签名，它是否可以被利用？

当然是的。

• 在特定情况下，只有特定类型的信息是由您知道如果被篡改时安全的令牌处理的，这有关系吗？

完全由你决定。这是衡量特定问题的业务风险的上下文。

从开发的角度来看，我建议您禁用“无”签名算法，并在将来以稍微不同的方式使用JWT令牌并忘记这个问题时，可以省去麻烦和潜在的危害。

这里有几个资源：

• https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/
• https://medium.com/101-writeups/hacking-json-web-token-jwt-233fe6c862e6