Vulnerabilidades en JWT
¿Qué es Vulnerabilidades en JWT?
Vulnerabilidades en JWTClases de fallos de implementacion en la validacion de JSON Web Tokens que permiten falsificar tokens, escalar privilegios o evadir la autenticacion.
Los JSON Web Tokens son habituales para autenticacion y autorizacion de APIs, pero su flexibilidad ha generado varias clases recurrentes de fallos. El bug clasico alg=none aparece cuando el verificador acepta un token sin firma. Los secretos HS256 debiles pueden romperse offline y permitir crear tokens arbitrarios. La confusion de claves ocurre cuando un servidor valida un token HS256 usando una clave publica RSA como secreto HMAC. Otros problemas: ausencia de verificacion de firma, aceptar tokens caducados, inyeccion en la cabecera kid (path traversal o SQLi) y ataques jwk/jku embebidos. Mitigaciones: fijar el algoritmo del lado servidor, usar claves asimetricas fuertes, validar kid con una lista permitida y tratar los JWT como entrada no confiable.
● Ejemplos
- 01
Cabecera {"alg":"none"} aceptada por una libreria mal configurada.
- 02
El servidor valida un token RS256 usando su clave publica como secreto HMAC de HS256.
● Preguntas frecuentes
¿Qué es Vulnerabilidades en JWT?
Clases de fallos de implementacion en la validacion de JSON Web Tokens que permiten falsificar tokens, escalar privilegios o evadir la autenticacion. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Vulnerabilidades en JWT?
Clases de fallos de implementacion en la validacion de JSON Web Tokens que permiten falsificar tokens, escalar privilegios o evadir la autenticacion.
¿Cómo funciona Vulnerabilidades en JWT?
Los JSON Web Tokens son habituales para autenticacion y autorizacion de APIs, pero su flexibilidad ha generado varias clases recurrentes de fallos. El bug clasico alg=none aparece cuando el verificador acepta un token sin firma. Los secretos HS256 debiles pueden romperse offline y permitir crear tokens arbitrarios. La confusion de claves ocurre cuando un servidor valida un token HS256 usando una clave publica RSA como secreto HMAC. Otros problemas: ausencia de verificacion de firma, aceptar tokens caducados, inyeccion en la cabecera kid (path traversal o SQLi) y ataques jwk/jku embebidos. Mitigaciones: fijar el algoritmo del lado servidor, usar claves asimetricas fuertes, validar kid con una lista permitida y tratar los JWT como entrada no confiable.
¿Cómo defenderse de Vulnerabilidades en JWT?
Las defensas contra Vulnerabilidades en JWT combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- identity-access№ 574
JWT (JSON Web Token)
Formato compacto y seguro para URL (RFC 7519) que lleva claims JSON firmadas; muy usado como token de acceso, ID token y contenedor de sesion.
- identity-access№ 088
Token portador (Bearer Token)
Credencial opaca o estructurada (RFC 6750) que concede acceso a un recurso solo por su posesion, sin prueba de que el portador sea el legitimo.
- identity-access№ 007
Token de acceso (Access Token)
Credencial de corta duracion emitida por un servidor de autorizacion que el cliente presenta a una API para acceder a recursos protegidos en nombre del usuario o servicio.
- appsec№ 052
Seguridad de API
Disciplina de diseñar, construir y operar APIs de forma que autenticación, autorización, exposición de datos y resistencia al abuso se mantengan bajo ataque.
- identity-access№ 076
Autenticación
Proceso de verificar que una entidad —usuario, dispositivo o servicio— es realmente quien dice ser antes de concederle acceso.
- compliance№ 781
OWASP Top 10
Documento de concienciación de OWASP que enumera los riesgos de seguridad más críticos para las aplicaciones web, actualizado periódicamente a partir de datos reales de vulnerabilidades.