gchq/CyberChef

Bug report: JWT Verify doesn't require an algorithm

Open

#624 aberto em 27 de ago. de 2019

Ver no GitHub
 (3 comments) (0 reactions) (0 assignees)JavaScript (34.843 stars) (3.944 forks)batch import
featurehelp wanted

Description

As detailed here, JWT verification functions should require specifying the algorithm that should have been used, in order to prevent an attacker from changing the algorithm to a symmetric algorithm from an asymmetric one and using the public key to sign the token. Probably low priority for this particular app, but it would be good to at least have the option.

Guia do colaborador

Pilha de tecnologia
javascript
Domain
security
Tipo Issue
bug
DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
3
Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
1-3 hours
Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
stale
ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
clear
Prerequisites
knowledge of JWTfamiliarity with CyberChef's codebase
Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
60
Direção de pesquisa
Investigate the current implementation of JWT operations in CyberChef (likely in src/core/operations/). Review the linked Auth0 article about algorithm confusion. The fix requires adding a mandatory algorithm parameter to the JWT Verify function, ensuring it validates that the token was signed with the expected algorithm. Check existing tests for JWT operations and consider how to add this parameter without breaking existing workflows.