gchq/CyberChef

Bug report: JWT Verify doesn't require an algorithm

Open

#624 opened on 2019年8月27日

GitHub で見る
 (3 comments) (0 reactions) (0 assignees)JavaScript (3,944 forks)batch import
featurehelp wanted

Repository metrics

Stars
 (34,843 stars)
PR merge metrics
 (平均マージ 8d 5h) (30d で 41 merged PRs)

説明

As detailed here, JWT verification functions should require specifying the algorithm that should have been used, in order to prevent an attacker from changing the algorithm to a symmetric algorithm from an asymmetric one and using the public key to sign the token. Probably low priority for this particular app, but it would be good to at least have the option.

コントリビューターガイド

調査方針
JWT検証関数にアルゴリズムパラメータを追加して、アルゴリズム混乱攻撃を防ぎます。問題にリンクされたセキュリティアドバイザリを参照してください。
技術スタック
javascript
領域
frontend
Issue 種別
セキュリティ
難度新しい貢献者にとっての実装難度です。1 は非常に小さな変更、5 は専門的な作業です。
2
推定時間経験ある貢献者が調査、実装、テスト、pull request 準備にかけるおおよその時間範囲です。
1-3時間
活動状況Issue が今どれだけ取り組みやすいかを示します。新しい、活発、古い、ブロック中、またはメンテナー入力待ちなどです。
アクティブ
明確さ期待される変更、受け入れ条件、次の手順がどれだけ明確かを示します。
明確
前提条件
JavaScript
初心者向け度初回貢献者にどれだけ取り組みやすいかを 1-100 で推定したスコアです。
70