Learn-json-web-tokens: الثغرات الأمنية
مجرد اقتراح: سيكون من الرائع إضافة بعض المعلومات حول المخاوف الأمنية في طرق تخزين JWT المختلفة من جانب العميل (ملف تعريف الارتباط / التخزين المحلي) - XSS و CSRF وما إلى ذلك.
sarneeh
ال 3 كومينتر
sarneeh شكرا لك على فتح هذا العدد. 👍
إذا كان لديك الوقت لإنشاء طلب سحب ، فيرجى البحث عنه! (_ لديك حق الوصول للكتابة إلى هذا المستودع_)
المخاوف الأمنية المطبقة على JWTs هي نفسها بالنسبة لأنظمة الرمز المميز الأخرى.
إذا كان مستخدم ضار قادرًا على تنفيذ هجوم XSS على المجال ، فسيكون قادرًا على الحصول على JWT واستخدامه لانتحال شخصية المستخدم بغض النظر عن كيفية تخزينه على العميل.
يمكن لـ JS الضارة قراءة ملفات تعريف الارتباط والتخزين المحلي وتسريبها بنفس السهولة.
يجب أن ننصح الأشخاص الذين يستخدمون JWTs بأنهم لا يوفرون الحماية من هجمات OWASP وأنهم مجرد وسيلة _مريحة_ لإرسال المطالبات / البيانات الموقعة. 📝
nelsonic
في ٤ يناير ٢٠١٩
تضمين التغريدة
المخاوف الأمنية المطبقة على JWTs هي نفسها بالنسبة لأنظمة الرمز المميز الأخرى.
إذا كان مستخدم ضار قادرًا على تنفيذ هجوم XSS على المجال ، فسيكون قادرًا على الحصول على JWT واستخدامه لانتحال شخصية المستخدم بغض النظر عن كيفية تخزينه على العميل.
يمكن لـ JS الضارة قراءة ملفات تعريف الارتباط والتخزين المحلي وتسريبها بنفس السهولة.
أوافق جزئيًا. لديك شيء مثل ملف تعريف الارتباط httpOnly و secure والذي يمنع المهاجم من الحصول على JWT الخاص بك. لكنني أتفق تمامًا على أنه إذا كنت منفتحًا على هجمات XSS ، فإن هذا لا يحميك من أي شيء حيث يمكن لأي شخص القيام بأشياء نيابة عن المستخدم (لا يسرق الرمز المميز ، ولكن على سبيل المثال ، حقن برنامج نصي ضار).
لذلك أعتقد أنه في النهاية ، لا يهم إذا كنت تستخدم localStorage أو cookie - إذا كنت منفتحًا على هجمات OWASP - فأنت مشدود. ولكن إذا كنت محميًا ضدهم - يجب أن تكون آمنًا بكلتا الطريقتين.
أرغب في إعداد بعض العلاقات العامة ولكني أجد صعوبة في الوقت الحالي وسأكون متفرغًا فقط في الأشهر 1-2 القادمة. إذا لم يسبقني أحد ، فسأعد بعض العلاقات العامة
sarneeh
في ٤ يناير ٢٠١٩
sarneeh شكرا لك على فتح هذا العدد.
إذا كان لديك الوقت لإنشاء طلب سحب ، فيرجى البحث عنه! (_ لديك حق الوصول للكتابة إلى هذا المستودع_)المخاوف الأمنية المطبقة على JWTs هي نفسها بالنسبة لأنظمة الرمز المميز الأخرى.
إذا كان مستخدم ضار قادرًا على تنفيذ هجوم XSS على المجال ، فسيكون قادرًا على الحصول على JWT واستخدامه لانتحال شخصية المستخدم بغض النظر عن كيفية تخزينه على العميل.
يمكن لـ JS الضارة قراءة ملفات تعريف الارتباط والتخزين المحلي وتسريبها بنفس السهولة.يجب أن ننصح الأشخاص الذين يستخدمون JWTs بأنهم لا يوفرون الحماية من هجمات OWASP وأنهم مجرد وسيلة _مريحة_ لإرسال المطالبات / البيانات الموقعة.
كما ذكر أعلاه ، يمكن أن يحتوي ملف تعريف الارتباط على خيار http فقط.
وفقًا لهذه المقالة ، من غير الآمن استخدام التخزين المحلي بدلاً من ملف تعريف الارتباط http فقط
بينما أشعر أنني أوضحت لنفسي أنه لا يجب عليك أبدًا تخزين معلومات حساسة في التخزين المحلي في القسم السابق ، أشعر بالحاجة إلى استدعاء JSON Web Tokens (JWTs) على وجه التحديد.
أكبر مخالفي الأمن الذين أراهم اليوم هم أولئك منا الذين يقومون بتخزين JWTs (بيانات الجلسة) في التخزين المحلي. كثير من الناس لا يدركون أن JWTs هي في الأساس نفس الشيء مثل اسم المستخدم / كلمة المرور.
إذا تمكن المهاجم من الحصول على نسخة من JWT الخاص بك ، فيمكنه تقديم طلبات إلى موقع الويب نيابة عنك ولن تعرف ذلك أبدًا. تعامل مع JWTs كما تفعل مع رقم بطاقة الائتمان أو كلمة المرور: لا تقم بتخزينها مطلقًا في التخزين المحلي.
NitroBAY
في ١٣ نوفمبر ٢٠١٩
القضايا ذات الصلة
nelsonic
·
4تعليقات
NE-SmallTown
·
5تعليقات
nelsonic
·
5تعليقات
alanshaw
·
6تعليقات
joepie91
·
18تعليقات
التعليق الأكثر فائدة
تضمين التغريدة
أوافق جزئيًا. لديك شيء مثل ملف تعريف الارتباط
httpOnlyوsecureوالذي يمنع المهاجم من الحصول على JWT الخاص بك. لكنني أتفق تمامًا على أنه إذا كنت منفتحًا على هجمات XSS ، فإن هذا لا يحميك من أي شيء حيث يمكن لأي شخص القيام بأشياء نيابة عن المستخدم (لا يسرق الرمز المميز ، ولكن على سبيل المثال ، حقن برنامج نصي ضار).لذلك أعتقد أنه في النهاية ، لا يهم إذا كنت تستخدم
localStorageأوcookie- إذا كنت منفتحًا على هجمات OWASP - فأنت مشدود. ولكن إذا كنت محميًا ضدهم - يجب أن تكون آمنًا بكلتا الطريقتين.أرغب في إعداد بعض العلاقات العامة ولكني أجد صعوبة في الوقت الحالي وسأكون متفرغًا فقط في الأشهر 1-2 القادمة. إذا لم يسبقني أحد ، فسأعد بعض العلاقات العامة