Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ciekawa podatność w implementacji JWT [InfluxDB]. Podajesz pusty sekret i… dostajesz się na dowolnego usera
Ciekawostka dla łowców interesujących bugów :-) Mieliśmy już różne warianty definicji algorytmy podpisów w JWT (none, NonE). Widzieliśmy również całkowite usunięcie sekcji podpisu. Teraz jeszcze coś innego:
We can authorize by any user. For that we can use jwt token with empty shared_secret.
Czyli w tokenie JWT podajemy puste hasło (nie mylić z pustym podpisem) i voila – token jest zwalidowany jako poprawny.
Błąd został załatany w InfluxDB już w 2019 roku, ale np. w Debianie paczkę z aktualizacją mamy dopiero w 2021 roku… z adnotacją:
It was discovered that incorrect validation of JWT tokens in InfluxDB, a time series, metrics, and analytics database, could result in authentication bypass.
–ms