Zum Inhalt springen
Alle Produkte ansehen
Computing
Speicher
Databases
Netzwerk
Entwicklertools
Bereitstellung
Sicherheit
Services
Branchen
Preise
Community
Treten Sie mit uns in engeren Kontakt
Blog erforschen
Kategorien
13
  1. Cloud Übersichten
    51
  2. Computing
    25
  3. Container (Kubernetes, Docker)
    34
  4. Databases
    21
  5. Entwicklertools
    41
  6. Linode
    259
  7. Linux
    69
  8. Multicloud
    4
  9. Netzwerk
    33
  10. Open Source
    6
  11. Partner-Netzwerk
    7
  12. Sicherheit
    61
  13. Speicher
    24
Autoren 56
  1. Alex Leung 4
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 5
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 68
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 19
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Peter Sari 1
  45. Rick Myers 7
  46. Richard Tubb 1
  47. Sal Carrasco 1
  48. Salman Iqbal 1
  49. Stuart Macleod 1
  50. Shawn Michels 1
  51. Linode Support 14
  52. Tom Asaro 18
  53. Travis Baka 2
  54. Talia Nassi 13
  55. Tim Vereecke 1
  56. Yuri Goldfeld 1
BlogBerechnenDie Gefahren des nie ablaufenden JWT: Versteckte Sicherheitsschwachstellen

Die Gefahren des nie ablaufenden JWT: Versteckte Sicherheitsschwachstellen

Alex Leung
Alex Leung
3. September 2024
Die_Gefahren_der_immer_ablaufenden_JWT

JSON-Web-Tokens (JWTs) sind in vielen Unternehmen zur bevorzugten Methode für die Authentifizierung geworden. Sie sind einfach zu implementieren und daher eine beliebte Wahl für die Sicherung von APIs und Webanwendungen. Wenn sie jedoch nicht ordnungsgemäß verwaltet werden, können JWTs Sicherheitsschwachstellen verursachen und Ihre Systeme gefährden. Sie haben sie wahrscheinlich selbst schon verwendet.

Aber haben Sie sie auch sicher umgesetzt und gehandhabt?

In einem Blogbeitrag von Akamai wurden mehrere häufige Sicherheitsschwachstellen im Zusammenhang mit JWTs aufgezeigt. Er war ein Weckruf für die potenziellen Risiken einer unsachgemäßen Verwaltung Ihrer JWTs. In diesem Blogbeitrag möchte ich darauf aufbauen und mich auf eine zusätzliche Schwachstelle konzentrieren, die oft übersehen wird: nicht ablaufende JWTs. Wir werden uns ansehen, wie dieses Problem auftritt und welche Sicherheitslücken damit verbunden sind. Anschließend gebe ich Ihnen einige Hinweise, damit Sie wissen, wie Sie sich vor diesen Sicherheitslücken schützen können.

Überblick über häufige JWT-Schwachstellen

Bevor wir uns damit befassen, sollten wir kurz auf die JWT-Schwachstellen eingehen, die in dem oben erwähnten Blog-Beitrag genannt wurden. Die sechs Bedrohungen für JWTs, die der Autor erwähnte, waren:

  1. Erlauben, dass der Server ein Token ohne Validierung verwendet: Dies kann der Fall sein, wenn der Server die Integrität des Tokens nicht überprüft, was es Angreifern erleichtert, es zu manipulieren und auszunutzen. Angreifer können auch den Verifizierungsalgorithmus (alg) auf "none" setzen und so versuchen, den Server so zu manipulieren, dass er das Token überhaupt nicht validiert.
  2. Verwendung desselben privaten Schlüssels für verschiedene Anwendungen: Diese Praxis kann mehrere Anwendungen gefährden, wenn der Schlüssel offengelegt wird.
  3. Verwendung eines schwachen Signieralgorithmus: Schwache Signieralgorithmen können leichter geknackt werden, was zu unberechtigtem Zugriff führt.
  4. Wahl eines kurzen und/oder privaten Schlüssels mit geringer Entropie: Schlüssel, die zu kurz sind oder denen es an Zufälligkeit fehlt, sind anfälliger für Brute-Force-Angriffe.
  5. Aufbewahrung sensibler Daten in der Nutzlast eines JWTs: Sensible Informationen, die in der Nutzlast gespeichert sind, können offengelegt werden, wenn das Token abgefangen wird.
  6. Verwechslung der Schlüssel: Die falsche Verwaltung von Schlüsseln kann zu einer falschen Validierung führen, die unbefugten Zugriff ermöglicht.

Ausführliche Informationen zu diesen Schwachstellen finden Sie in diesem Blog-Beitrag. Schauen wir uns nun eine weitere Schwachstelle an: die nicht ablaufende JWT.

Zusätzliche Sicherheitslücke: Nicht ablaufende JWTs

Werfen wir einen Blick auf den folgenden JWT, der auf einem realen Beispiel basiert, das mir vor nicht allzu langer Zeit begegnet ist:

Dies ist ein JWT, das zur Authentifizierung und Autorisierung des Zugangs eines Benutzers zu einer API verwendet wird. Es ist mit einem sicheren Geheimnis signiert, um Fälschungen zu verhindern. Auf den ersten Blick sieht es gut aus. Aber sehen wir uns die Nutzdaten genauer an:

{
  "platform_code": "@xlist!v1.0.4-c14b73af",
  "issued_at": "2024-04-30T11:15:57.075z",
  "product_code": "1e76ce1e-97c7-49d8-aadf",
  "ttl": 86400000,
  "iat": 1714475757
}

Bei der Angabe ttl denken Sie wahrscheinlich an time-to-live, denn dafür steht TTL normalerweise. Dies hat also wahrscheinlich damit zu tun, wie lange der JWT gültig ist. Dies muss die Ablaufzeit sein.

Wir können hier einige einfache Berechnungen anstellen. Vielleicht ist 86.400.000 die Anzahl der Sekunden, in diesem Fall beabsichtigt der Aussteller, dass dieses JWT für 1000 Tage gültig ist. Oder vielleicht sind Millisekunden gemeint, dann soll dieses JWT einen Tag lang gültig sein. Das könnte auch Sinn machen.

Aber hier ist das Problem: Die JWT-Spezifikation besagt, dass die Verfallszeit als exp und nicht als ttl angegeben wird:

Die Angabe "exp" (expiration time) gibt die Ablaufzeit an, nach der das JWT NICHT mehr zur Verarbeitung angenommen werden MUSS. Die Verarbeitung des "exp"-Anspruchs erfordert, dass das aktuelle Datum/die aktuelle Uhrzeit vor dem im "exp"-Anspruch aufgeführten Ablaufdatum/-zeit liegen MUSS.
Die Implementierer KÖNNEN einen kleinen Spielraum vorsehen, in der Regel nicht mehr als ein paar Minuten, um eine Zeitverschiebung zu berücksichtigen. Sein Wert MUSS eine Zahl sein, die einen NumericDate-Wert enthält. Die Verwendung dieses Claims ist OPTIONAL.

Dann haben wir hier also ein paar Probleme.

Erstens verwendet der Aussteller dieses JWT ttl zur Angabe des Ablaufs, aber ttl ist kein Standard-JWT-Anspruch. Die meisten Bibliotheken, die für den Umgang mit JWTs ausgelegt sind, erkennen ttl nicht als Anweisung für den Ablauf des Tokens. Dies wird zu Kompatibilitätsproblemen führen, und das Token wird höchstwahrscheinlich als nicht ablaufend behandelt werden.

Zweitens erfordert der Anspruch exp einen tatsächlichen Zeitstempel des Ablaufs, nicht eine relative Anzahl von Millisekunden (oder Sekunden) ab dem Ausgabezeitpunkt. Diese Verwirrung rührt wahrscheinlich von der Verwendung von ttl statt exp her. Nichtsdestotrotz muss der Emittent das erwartete Format für den exp-Anspruch verstehen, um den ordnungsgemäßen Ablauf des Tokens zu gewährleisten.

Unabhängig davon, ob Sie die Ablaufzeit für ein JWT vernachlässigen oder falsch einstellen (wie in unserem Beispiel), wird Ihr JWT als nicht ablaufend behandelt. Und dies stellt eine erhebliche Sicherheitslücke dar.  

Ohne ordnungsgemäße Ablauffrist kann ein JWT von Angreifern wiederverwendet werdenoder über die vorgesehene Lebensdauer hinaus auslaufen,was das Risiko eines nicht autorisierten Zugriffs erhöht.

Entschärfung von JWT-Sicherheitsschwachstellen

Nachdem wir uns nun mit den potenziellen Sicherheitslücken befasst haben, stellt sich die nächste Frage: Was sollten Sie dagegen tun? Glücklicherweise ist die Behebung dieser Schwachstelle einfach und unkompliziert!

Verwenden Sie immer den Verfallsanspruch. Legen Sie für jedes Token, das Sie erzeugen, eine Verfallszeit fest. Stellen Sie dabei sicher, dass Sie den standardmäßigen exp-Anspruch mit dem erwarteten Wertformat verwenden, um sicherzustellen, dass er den JWT-Spezifikationen entspricht und wie vorgesehen abläuft.

Aktualisieren Sie Anwendungen und Bibliotheken. Stellen Sie sicher, dass Ihre Anwendung und alle von Ihnen verwendeten Bibliotheken aktualisiert sind und den neuesten JWT-Standards entsprechen. Regelmäßige Updates helfen, Sicherheitslücken zu schließen und die Kompatibilität zu verbessern.

Das war's. Wenn Sie diese einfachen Richtlinien befolgen, können Sie das Risiko eines unbefugten Zugriffs über ein nicht ablaufendes JWT erheblich verringern. Dadurch wird die allgemeine Sicherheit Ihrer JWT-Implementierungen verbessert.

Fazit

Das Verständnis und die Behebung von JWT-Schwachstellen ist entscheidend für die Sicherheit Ihrer Anwendungen. In diesem Beitrag haben wir das Risiko von nicht ablaufenden Token hervorgehoben. Durch die korrekte Verwendung des Exp Claims und die Aktualisierung Ihrer Bibliotheken können Sie dieses Risiko wirksam eindämmen.

Weitere Sicherheitslösungen und Best Practices finden Sie in den Ressourcen der Linode-Dokumentation. Linode bietet umfassende Anleitungen, die Ihnen helfen, Sicherheitslücken in Ihren Anwendungen zu beseitigen.

Vielleicht interessiert Sie auch ...

Talia Nassi

Nutzen Sie Edge Computing für Live-Streaming-Dienste mit niedriger Latenz

29. August 2024
von Talia Nassi
Optimieren Sie Ihren Live-Streaming-Service mit den skalierbaren Lösungen von Akamai, um unerwartete Verkehrsspitzen zu bewältigen und ein nahtloses, latenzarmes Seherlebnis zu gewährleisten.
Computing
Illustration eines Laptops mit einem Ladebildschirm, einer farbigen, nach rechts geneigten Anzeige, einem roten Spektrum und dem Text "Schnelleres Laden der Seite mit der Spekulationsregeln-API".
Tim Vereecke

Schnelleres Laden von Seiten mit der API für Spekulationsregeln

27. August 2024
von Tim Vereecke
Die Spekulationsregeln-API soll die Geschwindigkeit künftiger Navigationen erhöhen. Lesen Sie, wie Sie sich diese Technologie zunutze machen können.
Computing
Alex Leung

Schützen Sie Ihren GraphQL-Server vor übermäßigem Ressourcenverbrauch

20. August 2024
von Alex Leung
Wir werden untersuchen, wie die Flexibilität von GraphQL gegen Sie verwendet werden kann und konzentrieren uns dabei auf eine Schwachstelle, die in den OWASP API Security Top 10 hervorgehoben wurde.
Computing

Kommentare

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet