JSON Web トークンが検出されました

info Web App Scanning プラグイン ID 112686

Language:

概要

説明

JSON Web トークン (JWT) は、当事者間でクレームを JSON オブジェクトとして安全に送信するためのデータ構造を定義するオープン標準 (RFC 7519) です。JSON Web トークンは、アプリケーションのセキュリティに関する考慮事項に応じて、JSON Web Signature (JWS) または JSON Web Encryption (JWE) としてインスタンス化できます。

JSON Web Signature ベースのトークンは、API 実装で最も一般的に使用され、ピリオドで区切られた 3 つの base64 URL エンコード部分で構築されます:

- JSON Object Signing and Encryption (JOSE) ヘッダー: 少なくとも、署名または暗号化 (alg) に使用されるアルゴリズムと処理されるコンテンツのタイプ (typ) について記述します。JSON Web トークンの場合、タイプは通常「JWT」に設定されます。

- ペイロード: 共有するクレームを含む JSON オブジェクト。クレームは 3 つのクラスに分類できます: 登録済み (仕様から)、パブリック、プライベート。これらの名前はクレームセット内で一意である必要があります。

- 署名: ヘッダーと秘密鍵または秘密鍵の特定のアルゴリズムを使用して処理されます。これにより、JSON Webトークンの整合性が確保されます。

スキャナーが、出力で提供された情報を含む JSON Web Signature ベースのトークンの存在を検出しました。

参考資料

https://blog.angular-university.io/angular-jwt/

https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet.html

https://jwt.io

プラグインの詳細

深刻度: Info

ID: 112686

タイプ: remote

ファミリー: Web Applications

公開日: 2021/2/8

更新日: 2023/8/29

スキャンテンプレート: api, basic, full, pci, scan