gchq/CyberChef

Bug report: JWT Verify doesn't require an algorithm

Open

#624 geöffnet am 27. Aug. 2019

Auf GitHub ansehen
 (3 Kommentare) (0 Reaktionen) (0 zugewiesene Personen)JavaScript (34.843 Stars) (3.944 Forks)batch import
featurehelp wanted

Beschreibung

As detailed here, JWT verification functions should require specifying the algorithm that should have been used, in order to prevent an attacker from changing the algorithm to a symmetric algorithm from an asymmetric one and using the public key to sign the token. Probably low priority for this particular app, but it would be good to at least have the option.

Contributor Guide

Tech Stack
javascript
Domain
security
Issue Type
bug
SchwierigkeitGeschätzte Implementierungsschwierigkeit für neue Contributors, von 1 für sehr kleine Änderungen bis 5 für Expertenarbeit.
3
Geschätzte ZeitEin grober Zeitrahmen, um zu recherchieren, zu implementieren, zu testen und einen Pull Request vorzubereiten.
1-3 hours
AktivitätsstatusWie verfügbar das Issue gerade wirkt: frisch, aktiv, stale, blockiert oder wartet auf Maintainer-Input.
stale
KlarheitWie klar das Issue die erwartete Änderung, Akzeptanzkriterien und den nächsten Schritt erklärt.
clear
Voraussetzungen
knowledge of JWTfamiliarity with CyberChef's codebase
EinsteigerfreundlichkeitEin Score von 1 bis 100, der schätzt, wie zugänglich dieses Issue für First-Time Contributors ist.
60
Research-Richtung
Investigate the current implementation of JWT operations in CyberChef (likely in src/core/operations/). Review the linked Auth0 article about algorithm confusion. The fix requires adding a mandatory algorithm parameter to the JWT Verify function, ensuring it validates that the token was signed with the expected algorithm. Check existing tests for JWT operations and consider how to add this parameter without breaking existing workflows.