Введение:

Веб-токены JSON (JWT) широко используются для защиты аутентификации API и обмена данными. Однако неправильная реализация и обработка могут привести к появлению уязвимостей, которые приводят к подделке токенов и манипулированию данными. В этом блоге мы рассмотрим распространенные недостатки JWT, реальные примеры атак и лучшие практики по снижению этих рисков.

Что такое JWT?

JWT — это компактное URL-безопасное средство представления претензий, подлежащих передаче между двумя сторонами. Он состоит из трех частей: заголовка, полезных данных и подписи, закодированных в Base64.

Структура JWT:

{
  "header": {
    "alg": "HS256",
    "typ": "JWT"
  },
  "payload": {
    "sub": "1234567890",
    "name": "John Doe",
    "iat": 1516239022
  },
  "signature": "SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"
}

Распространенные уязвимости JWT:

1. Атака с путаницей алгоритма:
Злоумышленники могут использовать слабые алгоритмы или изменить алгоритм в заголовке токена на отсутствие, что приведет к подделке токена.

Пример:

{
  "alg": "none",
  "typ": "JWT"
}

Снижение последствий:
Всегда проверяйте параметр alg на стороне сервера и отклоняйте токены с «отсутствующими» или слабыми алгоритмами.

Безопасная реализация:

const jwt = require('jsonwebtoken');
const payload = {
  sub: "1234567890",
  name: "John Doe"
};
const secret = 'your-256-bit-secret';
const token = jwt.sign(payload, secret, { algorithm: 'HS256' });

jwt.verify(token, secret, { algorithms: ['HS256'] }, function(err, decoded) {
  if (err) throw new Error('Token verification failed');
  console.log(decoded);
});

2. Ключевая атака:
Злоумышленники могут манипулировать полезной нагрузкой, чтобы включить новый ключ, что приведет к несанкционированному доступу.

Пример:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

Снижение последствий:
Убедитесь, что претензии правильно проверены и конфиденциальная информация не хранится в полезных данных.

Безопасная реализация:

const payload = {
  sub: "1234567890",
  name: "John Doe"
};

const token = jwt.sign(payload, secret, { algorithm: 'HS256' });

jwt.verify(token, secret, function(err, decoded) {
  if (err) throw new Error('Token verification failed');
  if (decoded.admin) throw new Error('Unauthorized access');
  console.log(decoded);
});

3. Слабый секретный ключ:
Использование слабых или предсказуемых секретных ключей может привести к атакам методом перебора.

Снижение последствий:
Используйте надежные, случайно сгенерированные секретные ключи и регулярно меняйте их.

Безопасная реализация:

const crypto = require('crypto');
const secret = crypto.randomBytes(64).toString('hex');

const token = jwt.sign(payload, secret, { algorithm: 'HS256' });

jwt.verify(token, secret, function(err, decoded) {
  if (err) throw new Error('Token verification failed');
  console.log(decoded);
});

Полный пример реализации безопасного JWT:

Вот полный пример безопасной реализации JWT в приложении Node.js:

Шаг 1. Установите зависимости

npm install jsonwebtoken express body-parser

Шаг 2. Создайте простой сервер

const express = require('express');
const bodyParser = require('body-parser');
const jwt = require('jsonwebtoken');
const crypto = require('crypto');

const app = express();
app.use(bodyParser.json());

const secret = crypto.randomBytes(64).toString('hex');

app.post('/login', (req, res) => {
  const { username, password } = req.body;

  // Authenticate user (dummy check for example)
  if (username === 'user' && password === 'pass') {
    const payload = { username };
    const token = jwt.sign(payload, secret, { algorithm: 'HS256', expiresIn: '1h' });
    res.json({ token });
  } else {
    res.status(401).json({ message: 'Invalid credentials' });
  }
});

app.get('/protected', (req, res) => {
  const token = req.headers['authorization'];

  if (!token) return res.status(403).json({ message: 'No token provided' });

  jwt.verify(token, secret, { algorithms: ['HS256'] }, (err, decoded) => {
    if (err) return res.status(500).json({ message: 'Failed to authenticate token' });

    res.json({ message: 'Access granted', user: decoded });
  });
});

app.listen(3000, () => {
  console.log('Server running on port 3000');
});

Рекомендации по безопасной реализации JWT:

• Используйте сильные алгоритмы: для большей безопасности отдавайте предпочтение RS256 или ES256, а не HS256.
• Проверка срока действия токена: всегда проверяйте заявление об опыте, чтобы убедиться, что срок действия токена не истек.
• Надежное хранение секретов: храните секретные ключи в безопасном месте, например в переменных среды или безопасных хранилищах.
• Внедрите правильную обработку ошибок: избегайте раскрытия конфиденциальных сообщений об ошибках, которые могут помочь злоумышленникам.
• Использовать HTTPS: убедитесь, что все соединения осуществляются через HTTPS, чтобы предотвратить перехват токена.

Заключение:

Понимание и устранение уязвимостей JWT имеет решающее значение для обеспечения безопасности ваших приложений. Следуя передовым практикам и правильно обрабатывая JWT, вы можете предотвратить подделку токенов и манипулирование данными, обеспечивая надежную безопасность API.

Защитите свои API прямо сейчас, внедрив эти лучшие практики для защиты от уязвимостей JWT!