Hüjümçiniň täsiri
Nädogry JWT tassyklamasy hüjümçilere talaplary galplaşdyrmak ýa-da möhleti geçen [S1] belgilerini gaýtadan ulanmak arkaly tanamak mehanizmlerinden geçmäge mümkinçilik berýär. Eger serwer bellikleri dogry gol bolmasa kabul etse, hüjümçi artykmaçlyklary artdyrmak ýa-da islendik ulanyjy [S1] adyny görkezmek üçin ýük göterijisini üýtgedip biler. Mundan başga-da, möhletiniň (exp) talaplaryny ýerine ýetirip bilmezlik, hüjümçä belli bir möhletde [S1] belgisini ulanmaga mümkinçilik berýär.
Kök sebäp
JSON Web Token (JWT) sanly gol çekilen ýa-da bitewilik bilen goralýan [S1] talaplary görkezmek üçin ulanylýan JSON esasly gurluşdyr. Howpsuzlyk näsazlyklary, adatça, iki esasy ýerine ýetiriş boşlugyndan gelip çykýar:
- Goragsyz JWT-leriň kabul edilmegi : Hyzmat gol tassyklamasyny berk ýerine ýetirmeýän bolsa, gol ýok ýerinde we algoritm "ýok" [S1] "Goragsyz JWT" -leri gaýtadan işläp biler. Bu ssenariýada, serwer [S1] bitewiligini barlamazdan, ýük göterijilerindäki talaplara ynanýar.
aud(diňleýjiler) talap [S1] belligini alýanlary kesgitleýär. Bular barlanmasa, serwer möhleti geçen ýa-da başga bir programma [S1] üçin niýetlenen bellikleri kabul edip biler.
Beton düzedişler
- Kriptografiki gollary ýerine ýetiriň : Öň tassyklanan, güýçli gol algoritmini (RS256 ýaly) ulanmaýan islendik JWT programmasyny ret ediň.
2.
- Tomaşaçylary barlaň :
audtalapnamasynyň ýerli hyzmaty kesgitleýän bahanyň bardygyna göz ýetiriň; hyzmataudtalapynda kesgitlenmedik bolsa, bellik [S1] ret edilmeli. - Gaýtalamagyň öňüni alyň :
jti(JWT ID) ulanyň, serwere gaýtadan ulanylýan belgileri yzarlamaga we ret etmäge mümkinçilik berýän [S1]
ectionüze çykarmak strategiýasy
JWT işleýşindäki gowşaklyklary bellik gurluşyny we serweriň jogap beriş häsiýetini seljermek arkaly kesgitläp bolýar: **