FixVibe
Covered by FixVibehigh

nisqa JWT Waqaychasqa: Riesgokuna Mana waqaychasqa Fichas kaqmanta chaymanta chinkasqa Reclamación Validación kaqmanta

nisqa ZXCVFIXVIBESEG2 nisqa JSON Web Tokens (JWTs) huk kamachiyta qun reclamacionkunata t'inkinapaq, ichaqa waqaychasqa sinchi chiqaqchaypi hapirin. Firmakuna, tukukuy pachakuna utaq munasqa uyariqkuna mana chiqaqchayqa atacadores chiqaqchayta utaq tokenkunata wakmanta pukllayta saqin.

CWE-347CWE-287CWE-613

nisqa ZXCVFIXVIBESEG3 nisqa

Atacantepa Impacto

nisqa ZXCVFIXVIBESEG4 nisqa Mana allin JWT chiqaqchayqa atacadores kaqmanta chiqaqchay mecanismokuna muyuriyta saqin reclamaciones falsificaspa utaq vencido tokenkuna [S1] kaqmanta llamk'achispa. Sichus huk sirwiq mana allin firmayuq tokenkunata chaskikun, huk atacador carga útil kaqmanta tikrayta atin privilegiokuna yapananpaq utaq mayqin user [S1] kaqman rikch'akuq. Chaymanta, mana hunt'achiyta tukuchiyta (exp) niyta huk atacadorta huk token comprometidota mana tukukuyniyuq [S1] llamk'achiyta saqin.

nisqa ZXCVFIXVIBESEG5 nisqa

Saphi Kausa

nisqa ZXCVFIXVIBESEG6 nisqa JSON Web Token (JWT) huk JSON-pi ruwasqa estructura llamk'achisqa reclamacionkunata rikuchinapaq mayqinkunachus digital firmasqa utaq integridad waqaychasqa [S1]. Waqaychasqa pantaykunaqa iskay ñawpaq ruway ch'usaqkunamantam lluqsimun:

nisqa ZXCVFIXVIBESEG7 nisqa

  • Mana waqaychasqa JWTkuna chaskiy: Sichus huk yanapakuy mana firma chiqaqchayta sinchita kamachinchu, "Mana waqaychasqa JWTkuna" ruwayta atinman maypi firma mana kanchu chaymanta algoritmo "mana ima" [S1] kaqpi churasqa. Kay escenario kaqpi, sirwiq carga útil kaqpi reclamacionkunapi hapipakun mana hunt'asqa kayninta chiqaqchaspa [S1].

nisqa ZXCVFIXVIBESEG8 nisqa

  • Chiqasqa Reclamación Validación: exp (expiración pacha) reclamación riqsichin mayk'aq pachata utaq chaymanta chaymanta JWT mana chaskisqachu kanan tiyan [S1] ruwanapaq. aud (audiencia) nisqa willakuyqa [S1] tokenpa munasqa chaskiqninkunatam riqsichin. Sichus kaykunata mana qhawasqachu, sirwiq tokenkunata chaskinman mayqinkunachus tukusqa utaq wak ruwanapaq ruwasqa karqanku [S1].

nisqa ZXCVFIXVIBESEG9 nisqa9

Hormigón nisqamanta allichakuykuna

nisqa ZXCVFIXVIBESEG10 nisqa

  • Criptográfica Firmakuna kamachiy: Ruwayta ruway mayqin JWT mana ñawpaqmanta aprobasqa, sinchi firma algoritmo llamk'achiq (RS256 hina).

nisqa ZXCVFIXVIBESEG11 nisqa

  • Validar Expiración: Huk kamachisqa qhawayta ruway kunan p'unchaw chaymanta pacha manaraq exp reclamación [S1] kaqpi nisqa pacha kasqanmanta.

nisqa ZXCVFIXVIBESEG12 nisqa

  • Uyariqkunata chiqaqchay: aud reclamacionpi huk chanin llaqta yanapakuy riqsichiq kasqanmanta qhaway; sichus yanapakuy mana aud reclamacionpi riqsisqachu, token mana chaskisqachu kanan tiyan [S1].

nisqa ZXCVFIXVIBESEG13 nisqa

  • Wakmanta pukllayta harkay: jti (JWT ID) niyta llamk'achiy sapa tokenman huk sapalla riqsichiq quypaq, sirwiqman qatiyta chaymanta mana chaskiyta atispa wakmanta llamk'asqa tokenkunata [S1].

nisqa ZXCVFIXVIBESEG14 nisqa

Estrategia de Detección nisqa

nisqa ZXCVFIXVIBESEG15 nisqa JWT kamachiypi mana allinkuna riqsichikunman token ruwayta chaymanta sirwiq kutichiy ruwayta t'aqwispa: nisqa ZXCVFIXVIBESEG16 nisqa

  • Uma qhaway: alg (algoritmo) umalliqta qhaway mana "mana ima" kaqman churasqa kasqanmanta chaymanta suyasqa criptográfico kamachiykunata [S1] kaqwan llamk'achkan.

nisqa ZXCVFIXVIBESEG17 nisqa

  • Reclamación Chiqaqchay: exp (vencinación) chaymanta aud (audiencia) reclamacionkuna JSON carga útil [S1] ukhupi kayninta chaymanta chiqa kayninta takyachispa.

nisqa ZXCVFIXVIBESEG18 nisqa

  • Prueba validación: Prueba sichus servidor allinta mana chaskinchu tokenkuna exp reclamación kaqmanhina tukusqa utaq huk chikan uyariqpaq ruwasqa kanku imaynachus aud reclamación [S1] kaqwan riqsichisqa.