JSON Web トークンが検出されました

info Web App Scanning プラグイン ID 112686

Language:

概要

説明

JSON Web トークン (JWT) は、当事者間でクレームを JSON オブジェクトとして安全に送信するためのデータ構造を定義するオープン標準 (RFC 7519) です。JSON Web トークンは、アプリケーションのセキュリティに関する考慮事項に応じて、JSON Web Signature (JWS) または JSON Web Encryption (JWE) としてインスタンス化できます。

JSON Web Signature ベースのトークンは、API 実装で最も一般的に使用され、ピリオドで区切られた 3 つの base64 URL エンコード部分で構築されます:

- JSON Object Signatureing and Encryption(JOSE)ヘッダー:署名または暗号化(alg)に使用されるアルゴリズムと、処理されるコンテンツのタイプ(タイプ)を記述します。JSON Web トークンの場合、タイプは通常「JWT」に設定されます。

- ペイロード:共有するクレームを含むJSONオブジェクト。クレームは3つのクラスに分けられます:仕様書から登録済み、公開型、プライベート型で、その名前はクレームセット内で一意でなければなりません。

- 署名:ヘッダーの特定のアルゴリズムと秘密または秘密鍵を用いて計算されます。これにより、JSON Webトークンの整合性が確保されます。

スキャナーが、出力で提供された情報を含む JSON Web Signature ベースのトークンの存在を検出しました。

参考資料

https://blog.angular-university.io/angular-jwt/

https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet.html

https://jwt.io

プラグインの詳細

深刻度: Info

ID: 112686

タイプ: Check Based

ファミリー: Web Applications

公開日: 2021/2/8

更新日: 2026/2/11

スキャンテンプレート: api, basic, full, mcp, pci, scan