Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: jwt

Jak czasem można ominąć zabezpieczenie oferowane przez JWT? Metoda, którą może zastosować nawet 10-latek :-)

06 marca 2023, 09:41 | W biegu | 0 komentarzy
Jak czasem można ominąć zabezpieczenie oferowane przez JWT? Metoda, którą może zastosować nawet 10-latek :-)

Ekipa z GitHub Security Lab postanowiła ostatnio przeaudytować projekt Datahub. Wśród licznych znalezisk mamy również takie: Missing JWT signature check (CVE-2022-39366) CVSS: 9.9 Obeznani z tematyką JWT już wiedzą co się tutaj święci. No więc tak… we wspomnianym systemie można było w payloadzie tokenu JWT umieścić absolutnie wszystko, a podpis takiego…

Czytaj dalej »

Ciekawa podatność w implementacji JWT [InfluxDB]. Podajesz pusty sekret i… dostajesz się na dowolnego usera

09 stycznia 2021, 18:22 | W biegu | 0 komentarzy
Ciekawa podatność w implementacji JWT [InfluxDB]. Podajesz pusty sekret i… dostajesz się na dowolnego usera

Ciekawostka dla łowców interesujących bugów :-) Mieliśmy już różne warianty definicji algorytmy podpisów w JWT (none, NonE). Widzieliśmy również całkowite usunięcie sekcji podpisu. Teraz jeszcze coś innego: We can authorize by any user. For that we can use jwt token with empty shared_secret. Czyli w tokenie JWT podajemy puste hasło…

Czytaj dalej »

Outlook Web Access: kuriozalny problem z JWT. Można było czytać maile innych osób – stare ale jare.

04 stycznia 2021, 13:24 | W biegu | 0 komentarzy
Outlook Web Access: kuriozalny problem z JWT. Można było czytać maile innych osób – stare ale jare.

Ostatnio nieco atencji doznały te podatności (są one już dość wiekowe – 2019r. / załatane, ale mają sporą wartość edukacyjną – stąd ten wpis). Jak można było uzyskać dostęp do e-maili innych osób via OWA? W pewnym miejscu ten ostatni generował token JWT, który (uwaga, uwaga) nie był podpisany (więcej…

Czytaj dalej »

Gruba podatność w implementacji DP3T – jednego z systemów do contact tracingu COVID

11 sierpnia 2020, 14:05 | W biegu | komentarze 2
Gruba podatność w implementacji DP3T – jednego z systemów do contact tracingu COVID

DP-3T (pisaliśmy m.in. o nim jakiś czas temu) to jedno z bardziej dojrzałych rozwiązań do tzw. contact tracingu. Tymczasem niedawno załatano taką podatność: Missing signature validation of JWT when alg=none Podatność występowała w jednym z komponentów backendowych całości: When dp3t-sdk-backend is configured to check a JWT before uploading/publishing keys, it was…

Czytaj dalej »

100 tys. USD nagrody za błąd w funkcji „Sign in with Apple”

31 maja 2020, 11:18 | Aktualności | komentarze 3
100 tys. USD nagrody za błąd w funkcji „Sign in with Apple”

„Sign in with Apple” to funkcja na urządzeniach Apple, która pozwala wykorzystać konto iCloud do uwierzytelnienia w innych aplikacjach. Od strony użytkownika działa na podobnej zasadzie jak – bardziej powszechne – „Zaloguj z kontem Google” czy „Zaloguj z Facebookiem”. Od strony technicznej, rozwiązanie opiera się o wygenerowanie tokenu JWT przez…

Czytaj dalej »

Auth0 Authentication API: jak w banalny sposób można było oszukać JWT? Poznajcie algorytm: nonE

20 kwietnia 2020, 12:11 | W biegu | 0 komentarzy
Auth0 Authentication API: jak w banalny sposób można było oszukać JWT? Poznajcie algorytm: nonE

Jeśli chcecie zapoznać się z bezpieczeństwem JWT – zerknijcie tutaj. W dużym skrócie tokeny JWT stosowane są niekiedy jako pewnego rodzaju klucze API. Nie masz dobrego klucza – nie skorzystasz z API. Proste. Żeby użytkownik nie mógł podrobić (czy wręcz stworzyć) takiego tokenu – (standardowo) używane są podpisy: Jeśli nie…

Czytaj dalej »

JWT (biblioteka Auth0): nie mogę przyjąć twojego sfałszowanego podpisu. Ale jestem uprzejmy – podam ci ten prawidłowy… Podatność miesiąca.

12 marca 2019, 11:46 | W biegu | komentarze 4

Jeśli ktoś zna tematykę JWT (JSON Web Token), to wie że aby uniemożliwić postronnym osobom modyfikacje zawartości tokena (payload), używany jest podpis. Bez weryfikacji podpisu każdy mógłby wygenerować dowolny token i serwer go zaakceptuje. Czyli np. dostajemy bezproblemowo dostęp do funkcji administracyjnych czy innych ciekawych danych. Zobaczmy więc na podatność CVE-2019-7644:…

Czytaj dalej »