Vulnerabilites JWT
Qu'est-ce que Vulnerabilites JWT ?
Vulnerabilites JWTClasses de defauts d'implementation dans la validation des JSON Web Tokens permettant a un attaquant de forger des tokens, escalader des privileges ou contourner l'authentification.
Les JSON Web Tokens sont tres utilises pour l'authentification et l'autorisation d'API, mais leurs options de signature flexibles ont engendre plusieurs classes recurrentes de bugs. Le classique alg=none survient quand un verifieur accepte un token non signe. Les secrets HS256 faibles peuvent etre casses hors ligne, permettant de forger des tokens arbitraires. La confusion de cle se produit lorsqu'un serveur valide un token HS256 en utilisant une cle publique RSA comme secret HMAC. Autres problemes: absence de verification de signature, acceptation de tokens expires, injection dans le header kid (path traversal, SQLi), et attaques jwk/jku embarques. Parades: figer l'algorithme cote serveur, utiliser des cles asymetriques fortes, valider kid via une liste blanche, traiter les JWT comme une entree non fiable.
● Exemples
- 01
Header {"alg":"none"} accepte par une librairie mal configuree.
- 02
Le serveur valide un token RS256 en utilisant sa cle publique comme secret HMAC HS256.
● Questions fréquentes
Qu'est-ce que Vulnerabilites JWT ?
Classes de defauts d'implementation dans la validation des JSON Web Tokens permettant a un attaquant de forger des tokens, escalader des privileges ou contourner l'authentification. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Vulnerabilites JWT ?
Classes de defauts d'implementation dans la validation des JSON Web Tokens permettant a un attaquant de forger des tokens, escalader des privileges ou contourner l'authentification.
Comment fonctionne Vulnerabilites JWT ?
Les JSON Web Tokens sont tres utilises pour l'authentification et l'autorisation d'API, mais leurs options de signature flexibles ont engendre plusieurs classes recurrentes de bugs. Le classique alg=none survient quand un verifieur accepte un token non signe. Les secrets HS256 faibles peuvent etre casses hors ligne, permettant de forger des tokens arbitraires. La confusion de cle se produit lorsqu'un serveur valide un token HS256 en utilisant une cle publique RSA comme secret HMAC. Autres problemes: absence de verification de signature, acceptation de tokens expires, injection dans le header kid (path traversal, SQLi), et attaques jwk/jku embarques. Parades: figer l'algorithme cote serveur, utiliser des cles asymetriques fortes, valider kid via une liste blanche, traiter les JWT comme une entree non fiable.
Comment se défendre contre Vulnerabilites JWT ?
Les défenses contre Vulnerabilites JWT combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- identity-access№ 574
JWT (JSON Web Token)
Format de token compact et URL-safe (RFC 7519) portant des claims JSON signees, tres utilise comme access token, ID token et conteneur de session.
- identity-access№ 088
Bearer Token (token au porteur)
Credential opaque ou structure (RFC 6750) qui accorde l'acces a une ressource par simple possession, sans preuve que le porteur en est le proprietaire legitime.
- identity-access№ 007
Access Token (jeton d'acces)
Credential a courte duree emise par un serveur d'autorisation, presentee par le client a une API pour acceder aux ressources protegees au nom d'un utilisateur ou service.
- appsec№ 052
Sécurité des API
Discipline qui consiste à concevoir, construire et exploiter des API de sorte que l'authentification, l'autorisation, l'exposition des données et la résistance aux abus tiennent sous attaque.
- identity-access№ 076
Authentification
Processus consistant à vérifier qu'une entité — utilisateur, appareil ou service — est bien celle qu'elle prétend être avant de lui accorder un accès.
- compliance№ 781
OWASP Top 10
Document de sensibilisation de l'OWASP qui recense les risques de sécurité les plus critiques des applications web, mis à jour périodiquement à partir de données de vulnérabilités réelles.