JSON Web トークンは、データ改ざんから保護するために署名できます。非対称または対称署名アルゴリズムを使用することで、アプリケーションはトークンデータの署名を処理します。署名はトークンのデコード中に検証され、整合性が確保されます。対称アルゴリズムを使用する場合、署名は選択された HMAC 関数と秘密鍵から作成されます。

脆弱なキーを使用すると、ブルートフォース攻撃に対して脆弱になり、アプリケーションに代わってトークンを操作および署名できるようになります。トークンの使用方法によっては、攻撃者がこの脆弱性を利用して有効なトークンを偽造し、他のユーザーになりすましたり、さらに権限を取得したりする可能性があります。

JSON Web トークン (JWT) は、当事者間でクレームを JSON オブジェクトとして安全に送信するためのデータ構造を定義するオープン標準 (RFC 7519) です。JSON Web トークンは、アプリケーションのセキュリティに関する考慮事項に応じて、JSON Web Signature (JWS) または JSON Web Encryption (JWE) としてインスタンス化できます。

JSON Web Signature ベースのトークンは、API 実装で最も一般的に使用され、ピリオドで区切られた 3 つの base64 URL エンコード部分で構築されます:

- JSON Object Signing and Encryption (JOSE) ヘッダー: 少なくとも、署名または暗号化 (alg) に使用されるアルゴリズムと処理されるコンテンツのタイプ (typ) について記述します。JSON Web トークンの場合、タイプは通常「JWT」に設定されます。

- ペイロード: 共有するクレームを含む JSON オブジェクト。クレームは 3 つのクラスに分類できます: 登録済み (仕様から)、パブリック、プライベート。これらの名前はクレームセット内で一意である必要があります。

- 署名: ヘッダーと秘密鍵または秘密鍵の特定のアルゴリズムを使用して処理されます。これにより、JSON Webトークンの整合性が確保されます。

スキャナーが、出力で提供された情報を含む JSON Web Signature ベースのトークンの存在を検出しました。

GraphQL は、API およびアプリケーションデータセットでこれらのクエリを処理するために構築されたサーバー側ランタイム用のオープンソースのクエリおよび操作言語です。デフォルトの GraphQL には、クエリで使用するフィールド名や、受信したリクエストで提供された間違ったものからの変更を提案する機能があります。攻撃者がこの機能を利用してブルートフォース攻撃を実行し、GraphQL スキーマと非表示またはプライベートになる可能性のあるエンドポイントを見つけ、標的のサーバーで機密情報へのアクセスまたは任意のアクションの実行を試みる可能性があります。

スキャナーが、リモートの GraphQL サーバーでフィールド提案が有効になっていることを検出しました。

GraphQL は、API およびアプリケーションデータセットでこれらのクエリを処理するために構築されたサーバー側ランタイム用のオープンソースのクエリおよび操作言語です。GraphQL イントロスペクションを使用すると、GraphQL サーバーインスタンスでサポートされているスキーマとクエリに関連するすべての情報をクエリできます。攻撃者がこの構成ミスを利用して、機密情報を取得したり、発見されたエンドポイントでさらに攻撃を行ったりする可能性があります。

スキャナーが、GraphQL イントロスペクションがターゲットアプリケーションの複数のエンドポイントの 1 つで有効になっていることを検出しました。

GraphQL は、API およびアプリケーションデータセットでこれらのクエリを処理するために構築されたサーバー側ランタイム用のオープンソースのクエリおよび操作言語です。一部の Web アプリケーションには、開発者が GraphQL クエリを構築し、結果を取得するのに役立つ、使いやすいユーザーインターフェイスがあります。

スキャナーが、1 つ以上の GraphQL インターフェイスの存在を検出しました。

GraphQL は、API およびアプリケーションデータセットでこれらのクエリを処理するために構築されたサーバー側ランタイム用のオープンソースのクエリおよび操作言語です。従来の REST または SOAP API に対する代替手段としてよく使用され、柔軟性とデータフェッチ方法の最適化を実現します。

スキャナーが、ターゲットアプリケーションで GraphQL が使用されていることを検出しました。

Oracle Java SE バージョン 15、17、18、ならびに Oracle GraalVM Enterprise Edition バージョン 21.3.1 および 22.0.0.2 は、Ellipic Curve Digital Signature Algorithm (ECDSA) ベースの署名を適切に検証しません。署名の「r」および「s」コンポーネントの値を強制的にゼロにすることで、攻撃者は、脆弱なライブラリまたはコンポーネントのバージョンによって受け入れられる任意のメッセージの有効な署名および公開鍵を偽造する可能性があります。攻撃者がこの脆弱性を利用して、このアルゴリズムとその Java 実装に依存するセキュリティメカニズムをバイパスする可能性があります。

GraphQL は、API およびアプリケーションデータセットでこれらのクエリを処理するために構築されたサーバー側ランタイム用のオープンソースのクエリおよび操作言語です。GraphQL サーバーは、多くの場合、「application/json」以外の「Content-Type」ヘッダー値、およびクエリとミューテーションの両方に対する GET ベースのリクエストを許可します。これを利用することで、攻撃者はクロスサイトリクエスト偽造 (CSRF) 攻撃を仕掛け、認証されたユーザーに標的の GraphQL エンドポイントで任意のアクションを実行させる可能性があります。

JSON Web トークンは、データ改ざんから保護するために署名できます。非対称または対称署名アルゴリズムを使用することで、アプリケーションはトークンデータの署名を処理します。署名はトークンのデコード中に検証され、整合性が確保されます。

JSON Web トークンは、「none」アルゴリズムと空の署名を持つアプリケーションによって構成できるため、データには署名されず、検証なしで変更が可能になります。さらに、JSON Web トークンを処理するために使用される一部のライブラリにも、このアルゴリズムが不適切に実装されている場合があります。その場合、元々署名で作成されたものであっても、「none」アルゴリズムで設定されたトークンが検証される可能性があります。

トークンの使用方法によっては、攻撃者がこの脆弱性を利用して有効なトークンを偽造し、他のユーザーになりすましたり、さらに権限を取得したりする可能性があります。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
112697	JSON Webトークンの脆弱な秘密	Web App Scanning	Web Applications	2021/2/11	2024/1/3	high
112686	JSON Web トークンが検出されました	Web App Scanning	Web Applications	2021/2/8	2023/8/29	info
112895	GraphQL フィールドの提案が検出されました	Web App Scanning	Web Applications	2021/7/19	2021/9/7	medium
112894	GraphQL イントロスペクションが有効になっています	Web App Scanning	Web Applications	2021/7/12	2021/9/7	medium
112907	GraphQL インターフェイスが検出されました	Web App Scanning	Web Applications	2021/7/22	2021/7/22	info
112809	GraphQL が検出されました	Web App Scanning	Web Applications	2021/6/22	2023/11/17	info
113242	Java Psychic の署名	Web App Scanning	Component Vulnerability	2022/6/28	2024/1/8	high
112920	GraphQL クロスサイトリクエスト偽造	Web App Scanning	Cross Site Request Forgery	2022/9/26	2022/9/26	medium
112703	JSON Web トークンの None ハッシュアルゴリズム	Web App Scanning	Web Applications	2021/2/16	2024/1/8	high

検出

プラグインの検索

high

info

medium

medium

info

info

high

medium

high