FixVibe
Covered by FixVibehigh

Tsaro JWT: Hatsarin Alamu marasa tsaro da Bacewar Da'awar

JSON Web Tokens (JWTs) yana ba da ma'auni don canja wurin da'awar, amma tsaro ya dogara da ingantaccen inganci. Rashin tabbatar da sa hannu, lokutan ƙarewa, ko masu sauraro da aka yi niyya yana bawa maharan damar tsallake tantancewa ko sake kunna alamun.

CWE-347CWE-287CWE-613

Tasirin maharan

Ingancin JWT mara kyau yana bawa maharan damar ketare hanyoyin tantancewa ta hanyar ƙirƙira da'awar ko sake amfani da alamun da suka ƙare [S1]. Idan uwar garken ya karɓi alamu ba tare da sa hannun ingantaccen sa hannu ba, mai hari zai iya canza kayan aiki don haɓaka gata ko kwaikwayi kowane mai amfani [S1]. Bugu da ƙari, rashin aiwatar da da'awar ƙarewar (exp) yana bawa maharin damar yin amfani da alamar da aka daidaita har abada [S1].

Tushen Dalili

Token Yanar Gizo na JSON (JWT) wani tsari ne na tushen JSON da ake amfani da shi don wakiltar da'awar da aka sanya hannu ta lambobi ko amincin [S1]. Rashin tsaro yakan samo asali ne daga gibin aiwatarwa guda biyu:

  • Karɓar JWTs marasa tsaro *: Idan sabis ɗin bai cika tilasta tabbatar da sa hannu ba, yana iya aiwatar da "JWTs marasa tsaro" inda sa hannun ba ya nan kuma an saita algorithm zuwa "babu" [S1]. A cikin wannan yanayin, sabar ta amince da da'awar a cikin abin da aka biya ba tare da tabbatar da amincin su ba [S1].
  • Bacewar Da'awar *: Da'awar exp (lokacin ƙarewa) yana gano lokacin akan ko bayan haka JWT ba dole ba ne a karɓi don sarrafa [S1]. Da'awar aud (masu sauraro) tana gano waɗanda aka yi niyya na alamar [S1]. Idan ba a duba waɗannan ba, uwar garken na iya karɓar alamun da suka ƙare ko an yi niyya don wani aikace-aikacen daban [S1].

Gyaran Kankare

Saukewa: ZXCVFIXVIBESEG10

  • Tabbatar da Sa hannu na Cryptographic: Sanya aikace-aikacen don ƙin duk wani JWT wanda baya amfani da riga-kafi mai ƙarfi, algorithm sa hannu (kamar RS256).

Saukewa: ZXCVFIXVIBESEG11

  • Tabbatar da Karewa *: Aiwatar da tilas don tabbatar da kwanan wata da lokaci na yanzu kafin lokacin da aka ƙayyade a cikin exp da'awar [S1].

Saukewa: ZXCVFIXVIBESEG12

  • Tabbatar da Masu sauraro *: Tabbatar da da'awar aud ya ƙunshi ƙimar da ke gano sabis na gida; idan ba a gano sabis ɗin a cikin da'awar aud ba, dole ne a ƙi alamar [S1].

Saukewa: ZXCVFIXVIBESEG13

  • Hana Sake kunnawa *: Yi amfani da jti (JWT ID) da'awar sanya mai ganowa na musamman ga kowane alama, ba da damar uwar garke don yin waƙa da ƙin sake amfani da alamun [S1].

Saukewa: ZXCVFIXVIBESEG14

Dabarun Ganewa

Saukewa: ZXCVFIXVIBESEG15 Za a iya gano rashin ƙarfi a cikin kulawar JWT ta hanyar nazarin tsarin alama da halayen amsawar uwar garke: Saukewa: ZXCVFIXVIBESEG16

  • Binciken kai: Duba taken alg (algorithm) don tabbatar da cewa ba'a saita shi zuwa "babu" kuma yana amfani da ka'idojin rubutun da ake sa ran [S1].

Saukewa: ZXCVFIXVIBESEG17

  • Tabbatar da Da'awar *: Tabbatar da kasancewa da ingancin exp (karewa) da aud (masu sauraro) da'awar a cikin JSON biya [S1].
  • Gwajin Tabbatarwa *: Gwaji idan uwar garken daidai ya ƙi alamun da suka ƙare bisa ga da'awar exp ko kuma an yi niyya don masu sauraro daban-daban kamar yadda da'awar aud ta ayyana [S1].