Sfałszowany podpis? - nie szkodzi, komunikat błędu z serwera poda prawidłową wartość

[Grandalf]

JWT (Auth0): nie mogę przyjąć twojego sfałszowanego podpisu. Ale jestem uprzejmy - podam ci ten prawidłowy... Podatność miesiąca.

Jeśli ktoś zna tematykę

Zaloguj lub Zarejestruj się aby zobaczyć!

, to wie że aby uniemożliwić postronnym osobom modyfikacje zawartości tokena (payload), używany jest podpis. Bez weryfikacji podpisu każdy mógłby wygenerować dowolny token i serwer go zaakceptuje. Czyli np. dostajemy bezproblemowo dostęp do funkcji administracyjnych czy innych ciekawych danych.

Zobaczmy więc na podatność

Zaloguj lub Zarejestruj się aby zobaczyć!

:

All versions of

Zaloguj lub Zarejestruj się aby zobaczyć!

NuGet package lower than 1.0.4 include sensitive information about the expected JWT signature in an error message emitted when JWT signature validation fails:

Zaloguj lub Zarejestruj się aby zobaczyć!

This vulnerability allows attackers to use this error message to obtain a valid signature for arbitrary JWT tokens. This way attackers can forge tokens to bypass authentication and authorization mechanisms.

Właśnie - tworzymy swój (podrobiony) token, nie jesteśmy w stanie go prawidłowo podpisać, ale nie ma obaw - komunikat błędu z serwera, generowany gdy podpis się nie zgadza, podpowie nam co należy użyć. Witamy w roku 2019

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!