サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? – くろの雑記帳

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(…

攻撃して学ぶJWT【ハンズオンあり】 | Engineers’ Blog

攻撃者が改竄したいのはおそらくこのペイロードの部分です。 現在デコードしているJWTで言えば、ペイロードの"user": "guest"を"user": "admin"などに改竄して不正にadminになりすますことを目論むかもしれません。 他にも、JWTの有効期限を表す予約語expなどを改竄して不正に有効期限を延ばすなどの不正利用も考えられ…