Vai al contenuto principale
Visualizza tutti i prodotti
Elaborazione
Archiviazione
Databases
Collegamento in rete
Strumenti per gli sviluppatori
Delivery
Sicurezza
Servizi
Industrie
Prezzi
Comunità
Impegnarsi con noi
Esplora il blog
Categorie
13
  1. Panoramica sul cloud
    51
  2. Elaborazione
    25
  3. Contenitori (Kubernetes, Docker)
    34
  4. Databases
    21
  5. Strumenti per gli sviluppatori
    41
  6. Linode
    259
  7. Linux
    69
  8. Multicloud
    4
  9. Collegamento in rete
    33
  10. Open Source
    6
  11. Rete di partner
    7
  12. Sicurezza
    61
  13. Archiviazione
    24
Autori 56
  1. Alex Leung 4
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 5
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 68
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 19
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Peter Sari 1
  45. Rick Myers 7
  46. Richard Tubb 1
  47. Sal Carrasco 1
  48. Salman Iqbal 1
  49. Stuart Macleod 1
  50. Shawn Michels 1
  51. Linode Support 14
  52. Tom Asaro 18
  53. Travis Baka 2
  54. Talia Nassi 13
  55. Tim Vereecke 1
  56. Yuri Goldfeld 1
BlogCalcoloI pericoli del JWT senza scadenza: vulnerabilità di sicurezza nascoste

I pericoli del JWT senza scadenza: vulnerabilità di sicurezza nascoste

Alex Leung
Alex Leung
3 settembre 2024
I_pericoli_della_non_scadenza_del_JWT

I token web JSON (JWT) sono diventati il metodo di autenticazione preferito da molte organizzazioni. Sono facili da implementare e rappresentano una scelta popolare per proteggere le API e le applicazioni web. Tuttavia, se non gestiti correttamente, i JWT possono introdurre vulnerabilità di sicurezza, mettendo a rischio i vostri sistemi. Probabilmente li avete usati anche voi.

Ma li avete implementati e gestiti in modo sicuro?

Un post sul blog di Akamai ha evidenziato diverse vulnerabilità di sicurezza comuni associate ai JWT. È stato un campanello d'allarme sui rischi potenziali di una gestione impropria dei JWT. In questo blog post, desidero fare leva su questo aspetto, concentrandomi su un'ulteriore vulnerabilità spesso trascurata: i JWT che non scadono. Analizzeremo come si presenta questo problema e le vulnerabilità di sicurezza associate. Poi vi offrirò alcune indicazioni per sapere come proteggervi da queste vulnerabilità di sicurezza.

Panoramica delle vulnerabilità JWT comuni

Prima di immergerci nella questione, rivediamo brevemente le vulnerabilità dei JWT evidenziate nel post del blog di cui sopra. Le sei minacce ai JWT citate dall'autore sono:

  1. Consentire al server di utilizzare un token senza convalida: Questo può accadere quando il server non verifica l'integrità del token, rendendo più facile per gli aggressori manipolarlo e sfruttarlo. Gli aggressori possono anche impostare l'algoritmo di verifica (alg) su nessuno, cercando di manipolare il server affinché non convalidi affatto il token.
  2. Utilizzo della stessa chiave privata per applicazioni diverse: Questa pratica può compromettere più applicazioni se la chiave viene esposta.
  3. Utilizzo di un algoritmo di firma debole: Gli algoritmi di firma deboli possono essere violati più facilmente, con conseguente accesso non autorizzato.
  4. Scegliere una chiave privata breve e/o a bassa entropia: Le chiavi troppo corte o prive di casualità sono più suscettibili agli attacchi di forza bruta.
  5. Mantenere i dati sensibili nel payload di un JWT: Le informazioni sensibili memorizzate nel payload possono essere esposte se il token viene intercettato.
  6. Confondere le chiavi: Una gestione errata delle chiavi può portare a una convalida non corretta, consentendo un accesso non autorizzato.

Per una descrizione dettagliata di queste vulnerabilità, consultate il post sul blog. Passiamo ora a un'altra vulnerabilità: il JWT che non scade.

Vulnerabilità aggiuntiva: JWT non scadenti

Vediamo il seguente JWT, basato su un esempio reale che ho incontrato non molto tempo fa:

Si tratta di un JWT utilizzato per autenticare e autorizzare l'accesso di un utente a un'API. È firmato con un segreto sicuro per evitare lo spoofing. A prima vista, sembra tutto a posto. Ma guardiamo più da vicino il payload:

{
  "platform_code": "@xlist!v1.0.4-c14b73af",
  "issued_at": "2024-04-30T11:15:57.075z",
  "product_code": "1e76ce1e-97c7-49d8-aadf",
  "ttl": 86400000,
  "iat": 1714475757
}

Quando si guarda all'indicazione ttl, probabilmente si pensa al time-to-live, perché questo è il significato tipico di TTL. Quindi, probabilmente ha a che fare con la durata della validità del JWT. Questo deve essere il tempo di scadenza.

Possiamo fare qualche semplice calcolo. Forse 86.400.000 è il numero di secondi, nel qual caso l'emittente intende che questo JWT sia valido per 1000 giorni. O forse intendono millisecondi, nel qual caso intendono che questo JWT sia valido per 1 giorno. Anche questo potrebbe avere senso.

Ma ecco il problema: le specifiche JWT dicono che il tempo di scadenza è specificato come exp, non come ttl:

L'indicazione "exp" (expiration time) identifica il tempo di scadenza dopo il quale il JWT NON DEVE essere accettato per l'elaborazione. L'elaborazione dell'indicazione "exp" richiede che la data/ora corrente DEVE essere precedente alla data/ora di scadenza elencata nell'indicazione "exp".
Gli implementatori POSSONO prevedere un piccolo margine, di solito non più di qualche minuto, per tenere conto delle oscillazioni dell'orologio. Il suo valore DEVE essere un numero contenente un valore NumericDate. L'uso di questa indicazione è FACOLTATIVO.

Abbiamo quindi un paio di problemi.

Innanzitutto, l'emittente di questo JWT utilizza ttl per specificare la scadenza, ma ttl non è un'istruzione JWT standard. La maggior parte delle librerie progettate per gestire i JWT non riconoscerà ttl come un'istruzione relativa alla scadenza del token. Ciò comporterà problemi di compatibilità e il token sarà probabilmente trattato come non scadente.

In secondo luogo, l'indicazione exp richiede un timestamp effettivo di scadenza, non un numero relativo di millisecondi (o secondi) dal momento dell'emissione. Questa confusione deriva probabilmente dall'uso di ttl piuttosto che di exp. Tuttavia, l'emittente deve comprendere il formato previsto per la richiesta di scadenza per garantire la corretta scadenza del token.

Se si trascura di impostare il tempo di scadenza di un JWT o lo si imposta in modo errato (come nel nostro esempio), il JWT verrà trattato come non scadente. E questo rappresenta una significativa falla nella sicurezza.  

Senza una scadenza adeguata, un JWT può essere riutilizzato dagli attaccantio perdere oltre la durata di vita prevista,aumentando il rischio di accesso non autorizzato.

Mitigazione delle vulnerabilità della sicurezza JWT

Ora che abbiamo analizzato le potenziali vulnerabilità di sicurezza, la domanda successiva è: cosa fare? Fortunatamente, la mitigazione di questa vulnerabilità è semplice e immediata!

Utilizzate sempre la richiesta discadenza. Impostate un tempo di scadenza per ogni token generato. Quando lo si fa, assicurarsi di usare il claim exp standard con il formato del valore atteso per garantire che sia conforme alle specifiche JWT e che scada come previsto.

Aggiornare applicazioni e librerie. Assicuratevi che la vostra applicazione e le librerie utilizzate siano aggiornate e aderiscano agli ultimi standard JWT. Gli aggiornamenti regolari aiutano a risolvere le vulnerabilità di sicurezza e a migliorare la compatibilità.

Tutto qui. Seguendo queste semplici linee guida, ridurrete significativamente il rischio di accesso non autorizzato tramite un JWT non scaduto. Questo migliorerà la sicurezza complessiva delle vostre implementazioni JWT.

Conclusione

Comprendere e affrontare le vulnerabilità dei JWT è fondamentale per mantenere la sicurezza delle vostre applicazioni. In questo post abbiamo evidenziato il rischio dei token che non scadono. Utilizzando correttamente l'exp claim e mantenendo aggiornate le librerie, è possibile mitigare efficacemente questo rischio.

Per ulteriori soluzioni di sicurezza e best practice, esplorare le risorse disponibili nella documentazione Linode. Linode offre guide complete per aiutarvi a rimuovere le vulnerabilità di sicurezza dalle vostre applicazioni.

Ti potrebbe interessare anche...

Talia Nassi

Sfruttare l'Edge Computing per servizi di streaming live a bassa latenza

29 agosto 2024
di Talia Nassi
Ottimizzate il vostro servizio di live streaming con le soluzioni scalabili di Akamai per gestire picchi di traffico imprevisti e garantire esperienze di visione senza interruzioni e a bassa latenza.
Elaborazione
Illustrazione di un computer portatile con una schermata di caricamento, un indicatore colorato inclinato verso destra, uno spettro rosso e il testo "Caricamento delle pagine più veloce con l'API delle regole di speculazione".
Tim Vereecke

Caricamento delle pagine più veloce con l'API delle regole di speculazione

27 agosto 2024
di Tim Vereecke
L'API delle Regole di speculazione è destinata ad aumentare la velocità delle navigazioni future. Leggete i nostri approfondimenti su come sfruttare questa tecnologia.
Elaborazione
Alex Leung

Difendere il server GraphQL da un consumo eccessivo di risorse

20 agosto 2024
di Alex Leung
Analizzeremo come la flessibilità di GraphQL possa essere usata contro di voi, concentrandoci su una vulnerabilità evidenziata dalla OWASP API Security Top 10.
Elaborazione

Commenti

Lascia una risposta

Il vostro indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *