Note 1: JWT và các loại tấn công nhắm vào JWT

Thứ Hai, 15/05/2023

Tram Ho

JWT và cách thức xác thực

JWT (JSON Web Token) là một phương thức xác thực được sử dụng trong các ứng dụng web và di động. Khi một người dùng đăng nhập vào một ứng dụng, máy chủ sẽ tạo ra một JWT chứa thông tin về người dùng và ký số để xác thực tính hợp lệ của JWT. Sau đó, JWT này sẽ được gửi đến cho người dùng, và người dùng sẽ gửi nó lại với các yêu cầu được thực hiện trong ứng dụng.
Mỗi lần người dùng gửi yêu cầu, JWT sẽ được gửi đến máy chủ và được giải mã để trích xuất thông tin về người dùng. Máy chủ sẽ kiểm tra chữ ký của JWT để đảm bảo tính hợp lệ của nó. Nếu chữ ký hợp lệ, máy chủ sẽ trả về các dữ liệu hoặc thực hiện các hành động được yêu cầu.

JWT format

JWT gồm 3 phần header, payload và signature được mã hóa bằng base64 mỗi thành phần sẽ được ngăn cách bằng dấu chấm.

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJjb25jYXR4YW5obGEiLCJleHAiOjEyMzEyMywibmFtZSI6ImJheWJpc2hhcmsiLCJzdWIiOiJjYXJsb3MiLCJyb2xlIjoiYmxvZ19hdXRob3IiLCJpYXQiOjEyMzEyM30=.SYZBPIBg2CRjXAJ8vCER0LAENjII1JakvNQoP-Hw6GG1zfl4JyngsZReIfqRvIAEi5L4HV0q79qGhQZvy9ZdxEJbwTxRs6Lb-fZTDpW6lKYNdMyjw45alSCZ1fypsMWz2mTpQzil0lOtps5Eiz7mM7M8gCweAGpI53JxduQOaB5HkT5gVrv9cKu9CsW5MS6ZbqYXpGyOG5ehoxqm8DL5tFYaW3lB50ELxi0KsuTKEbD0t5BCl0aCR2MBJWAbN-xeLwEenaqBiwPVvKixYleeDQiBEIylFdNNIMviKRgXiYuAvMziVPbwSgkZVHeEdF5MQP1Oe2Spac-6IfA

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJjb25jYXR4YW5obGEiLCJleHAiOjEyMzEyMywibmFtZSI6ImJheWJpc2hhcmsiLCJzdWIiOiJjYXJsb3MiLCJyb2xlIjoiYmxvZ19hdXRob3IiLCJpYXQiOjEyMzEyM30=.SYZBPIBg2CRjXAJ8vCER0LAENjII1JakvNQoP-Hw6GG1zfl4JyngsZReIfqRvIAEi5L4HV0q79qGhQZvy9ZdxEJbwTxRs6Lb-fZTDpW6lKYNdMyjw45alSCZ1fypsMWz2mTpQzil0lOtps5Eiz7mM7M8gCweAGpI53JxduQOaB5HkT5gVrv9cKu9CsW5MS6ZbqYXpGyOG5ehoxqm8DL5tFYaW3lB50ELxi0KsuTKEbD0t5BCl0aCR2MBJWAbN-xeLwEenaqBiwPVvKixYleeDQiBEIylFdNNIMviKRgXiYuAvMziVPbwSgkZVHeEdF5MQP1Oe2Spac-6IfA

Cụ thể phần header là một đối tượng JSON chứa hai thông tin: loại token (type) và thuật toán mã hóa (algorithm) được sử dụng để mã hóa phần nội dung của token.

{
 "alg": "HS256",
 "typ": "JWT"
}

{

"alg": "HS256",

"typ": "JWT"

}

Phần payload là một đối tượng JSON chứa các thông tin xác thực và thông tin khác. Các thông tin này được mã hóa bằng cách sử dụng thuật toán đã được chỉ định trong phần header.

{
"iss":"concatxanhla",=&gt; viết tắt của issuer là thông tin hệ thống tạo 
"exp":123123, =&gt; thời gian hết hạn của token
name":"baybishark",
"sub":"carlos",
"role":"blog_author",
"iat":123123 =&gt; thời gian tạo của token
}

{

"iss":"concatxanhla",=> viết tắt của issuer là thông tin hệ thống tạo

"exp":123123, => thời gian hết hạn của token

name":"baybishark",

"sub":"carlos",

"role":"blog_author",

"iat":123123 => thời gian tạo của token

}

Phần signatuer là phần cuối cùng của JWT, được tạo bằng cách kết hợp header, payload và một secret key để tạo ra một chuỗi chữ ký duy nhất. Chữ ký này được sử dụng để xác thực tính hợp lệ của token.HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret),

JWT vs JWS vs JWE

JWT được sử dụng để xác thực người dùng và truyền tải thông tin giữa các bên. JWS (JSON Web Signature) được sử dụng để xác thực tính toàn vẹn của dữ liệu và JWE (JSON Web Encryption) được sử dụng để bảo vệ dữ liệu truyền tải. Các chuẩn định dạng này có thể được kết hợp để đảm bảo tính toàn vẹn và bảo mật cho dữ liệu trong quá trình truyền tải.

Xác thực JWT

Trên server, hãy tạo ra một khóa bí mật (secret key). Khóa bí mật này sẽ được sử dụng để tạo và xác thực các mã JWT.
Khi người dùng đăng nhập hoặc thực hiện quá trình xác thực, server sẽ tạo ra một JWT và gửi về cho client. JWT này chứa thông tin xác thực của người dùng, như thông tin về người dùng và các quyền truy cập.
Khi client gửi yêu cầu đến server, nó sẽ gửi JWT kèm theo trong phần tiêu đề (header) của yêu cầu. Thông thường, phần tiêu đề này có tên là “Authorization” và giá trị của nó là “Bearer [token]”, trong đó [token] là chuỗi JWT.
Trên server, khi nhận được yêu cầu từ client, bạn cần xác thực JWT để đảm bảo rằng nó là hợp lệ và chưa bị sửa đổi. Bạn có thể thực hiện các bước sau để xác thực JWT:
Trích xuất mã JWT từ phần tiêu đề “Authorization” của yêu cầu.
Sử dụng khóa bí mật đã được chia sẻ giữa client và server để giải mã mã JWT.
Kiểm tra chữ ký đi kèm trong JWT để xác minh tính toàn vẹn của nó. Chữ ký được tạo bằng cách sử dụng thuật toán mã hóa với khóa bí mật đã được chia sẻ.
Kiểm tra thời hạn (expiration) của JWT để đảm bảo rằng nó vẫn còn trong thời gian hợp lệ.
Nếu JWT xác thực thành công, server có thể truy xuất thông tin từ JWT và tiếp tục xử lý yêu cầu của client.
Nếu JWT không hợp lệ hoặc đã hết hạn, server có thể trả về mã phản hồi (response) phù hợp, chẳng hạn như mã lỗi 401 Unauthorized.

Các loại tấn công vào JWT.

Không verify JWT

Trong trường hợp này, DEV không thực hiện verify hoặc nhầm lẫn giữa việc sử dụng hàm decode để lấy giá trị từ payload thay vì sử dụng hàm verify.=> gãy
Cách tấn công trong trường hợp này chỉ việc chỉnh sửa lại trường payload thành giá trị mong muốn và dứt.

Chấp nhận token với signature là none

Trường hợp này có thể thay đổi thuật toán là none và có thể chỉnh sửa thông tin payload thoải mái

Sử dụng key jwt yếu

Trong trường hợp này sử dụng hashcat để tiến hành brute secret key của jwt.
hashcat -a 0 -m 16500 <YOUR-JWT> /path/to/jwt.secrets.list => secrec list có thể sử dụng rockyou hoặc seclist hoặc đại loại một thứ gì đó tồn tại ở internet.

Injections JWT tự ký thông qua tham số jwk

JWK (Khóa web JSON) là một định dạng được tiêu chuẩn hóa để biểu diễn các khóa dưới dạng đối tượng JSON.
Ví dụ

<span class="token punctuation">{</span>
    <span class="token property">"kid"</span><span class="token operator">:</span> <span class="token string">"ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG"</span><span class="token punctuation">,</span>
    <span class="token property">"typ"</span><span class="token operator">:</span> <span class="token string">"JWT"</span><span class="token punctuation">,</span>
    <span class="token property">"alg"</span><span class="token operator">:</span> <span class="token string">"RS256"</span><span class="token punctuation">,</span>
    <span class="token property">"jwk"</span><span class="token operator">:</span> <span class="token punctuation">{</span>
        <span class="token property">"kty"</span><span class="token operator">:</span> <span class="token string">"RSA"</span><span class="token punctuation">,</span>
        <span class="token property">"e"</span><span class="token operator">:</span> <span class="token string">"AQAB"</span><span class="token punctuation">,</span>
        <span class="token property">"kid"</span><span class="token operator">:</span> <span class="token string">"ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG"</span><span class="token punctuation">,</span>
        <span class="token property">"n"</span><span class="token operator">:</span> <span class="token string">"yy1wpYmffgXBxhAUJzHHocCuJolwDqql75ZWuCQ_cb33K2vh9m"</span>
    <span class="token punctuation">}</span>
<span class="token punctuation">}</span>

{

"kid": "ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG",

"typ": "JWT",

"alg": "RS256",

"jwk": {

"kty": "RSA",

"e": "AQAB",

"kid": "ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG",

"n": "yy1wpYmffgXBxhAUJzHHocCuJolwDqql75ZWuCQ_cb33K2vh9m"

}

Lý tưởng nhất là các máy chủ chỉ nên sử dụng một danh sách trắng giới hạn các khóa công khai để xác minh chữ ký JWT. Tuy nhiên, máy chủ được định cấu hình sai đôi khi sử dụng bất kỳ khóa nào được nhúng trong jwktham số.
Bạn có thể khai thác hành vi này bằng cách ký JWT đã sửa đổi bằng khóa riêng RSA của riêng bạn, sau đó nhúng khóa chung phù hợp vào tiêu đề jwk.

Chia sẻ bài viết ngay

Nguồn bài viết : Viblo

Note 1: JWT và các loại tấn công nhắm vào JWT

JWT và cách thức xác thực

JWT format

JWT vs JWS vs JWE

Xác thực JWT

Các loại tấn công vào JWT.

TikTok trở thành nền tảng mảng xã hội lớn thứ hai ở Nam Phi

Mất giá nhanh nhất sau 9 tháng ra mắt, iPhone 14 Pro Max tiếp tục phá đáy tại Việt Nam

Hướng dẫn sử dụng ngôn ngữ R cho người mới bắt đầu

10 plugin cần thiết của SublimeText dành cho các lập trình viên JavaScript