JWTのシークレットポイズニングに関する新たな脆弱性(CVE-2022-23529)を開示

2023/01/11 138 users Exploit リサーチャー cloud English 英語

By Artur Oleyarsh January 10, 2023 at 12:33 AM Category: Cloud, Vulnerability Tags: CVE-2022-23529, exploit, open source, Prisma Cloud, remote code execution, Vulnerability Exploitation This post is also available in: English (英語) 概要 Unit 42のリサーチャーは広く使われているオープンソースプロジ... 続きを読む

【認証】JWTについての説明書

2022/11/20 179 users JWT認証 サーバ ユーザ クライアント 認証サーバ

はじめに この記事を読んでいるあなたはJWTについて知っているだろうか？JWTは、認証されたユーザを識別するために最も一般的に使用される。JWTは認証サーバから発行されて、クライアント・サーバで消費される。 今回の記事では、Webアプリケーションの認証方法として最も利用されているJWT認証を簡潔に解説する。 本記... 続きを読む

サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか？ - くろの雑記帳

2022/04/18 179 users ステートレス サーバサイド グロ OWASP TOP 徳丸さん

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか？」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」（... 続きを読む

CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた | DevelopersIO

2022/03/28 9 users CircleCI DevelopersIO OIDC リリ

CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた こんにちは、CX事業本部 IoT事業部の若槻です。 このたび、CI/CDプラットフォームCircleCIで、OpenID Connect（OIDC）がいよいよサポートされたとのことです。待ちわびていた人も多いのではないでしょうか。 #OIDC リリ... 続きを読む

WebアプリケーションでJWTをセッションに使う際の保存先は（自分なりに説明できれば）どちらでもよいと思います - 日々量産

2022/02/12 336 users ockeghem localStorage 徳丸 セッション

以下のツイートを読んで気持ちが昂ったので。 みんな、もうSNSでいがみ合うのはやめよう。 平和に好きなJWTの話でもしようよ。 JWTの格納場所はlocalStorageとCookieのどっちが好き？— 徳丸 浩 (@ockeghem) 2022年2月11日 というのも、JWTをセッションに使うときに保存先含めて一時期悩んでいたので、その時の自分の解。... 続きを読む

マイクロサービスの認証・認可とJWT / Authentication and Authorization in Microservices and JWT

2021/09/14 238 users 認可 認証 マイクロサービス

マイクロサービスの認証・認可とJWT / Authentication and Authorization in Microservices and JWT 続きを読む

"JWT=ステートレス"から一歩踏み出すための考え方

2021/09/11 295 users ステートレス OWASP TOP 実装 個別 脆弱性診断

この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む

セキュリティ視点からの JWT 入門 - blog of morioka12

2020/12/10 246 users security morioka12 入門 セキュリティ視点

こんにちは、ISC 1年 IPFactory 所属の morioka12 です。 この記事は IPFactory Advent Calendar 2020 の10日目の分になります。 IPFactory という技術サークルについては、こちらを参照ください。 はてなブログに投稿しました #はてなブログ IPFactory Advent Calendar 2020 の10日目の記事を書きました#JWT #security ... 続きを読む

攻撃して学ぶJWT【ハンズオンあり】 | Engineers' Blog

2020/09/15 390 users ペイロード guest Engineers ハンズオン 部分

攻撃者が改竄したいのはおそらくこのペイロードの部分です。 現在デコードしているJWTで言えば、ペイロードの"user": "guest"を"user": "admin"などに改竄して不正にadminになりすますことを目論むかもしれません。 他にも、JWTの有効期限を表す予約語expなどを改竄して不正に有効期限を延ばすなどの不正利用も考えられ... 続きを読む

Firebase AuthなどJavaScriptでAPIセッション用のトークンを得ることについて - Qiita

2020/08/18 121 users Qiita Firebase Auth トークン 自前 自信

ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう （※ こちらの参照記事の内容自体に不備があるとか甘いとか指摘するものではないんですが、勝手に枕として使わせてもらいます） 上記記事は、Firebase Authenticationが提供するJavaScript APIを使ってJWTのトークンを取得し、自前のサ... 続きを読む

next.js + vercel + firebase authentication で JWT の検証を行う + Graphql - mizdev

2020/07/28 22 users GitHub mizchi Firebase ルーティング

今個人で作ってるアプリの 認証 + Graphql の部分を抜き出して GitHub に公開した。 mizchi/next-boilerplate-20200727 next.js + vercel + firebase は (パーツを良く選べば) 最高 next.js はルーティングを持つページを作るには最高で、サーバー、静的サイト、JAM スタック、AMP と必要に応じて選択できる。React ベー... 続きを読む

Auth0でJWT認証してみた話 - SMARTCAMP Engineer Blog

2019/12/20 19 users ボクシル auth Qiita Nuxt JWT認証

スマートキャンプでボクシルのエンジニアをしている井上です。 本記事はスマートキャンプ Advent Calendar 2019 - Qiitaの20日目の記事です。 個人的に遊んでいるAuth0について書いてきます。 前回はAuth0でのよくある認証をAuth0 Nuxtで実装しましたが、 今回は前回の作成したものを使って、Auth0でJWT認証をやってみた... 続きを読む

C#でJWTを発行して、Node.jsで検証する簡単なお仕事です - Qiita

2019/12/19 5 users Qiita node.js

using CSharpIDP.Utils; using Microsoft.AspNetCore.Mvc; using Microsoft.Extensions.Logging; using Microsoft.IdentityModel.Tokens; using System; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using System.Security.Cryptography; using System.Threading.Tasks; namespace CSharpIDP... 続きを読む

Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife

2019/11/30 397 users r-weblife Webアプリケーション セッション管理

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！ リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の... 続きを読む

どうして JWT をセッションに使っちゃうわけ？ - co3k.org

2018/09/20 713 users エントリ プログラマー セッション 挨拶 見積もり

はあああ〜〜〜〜頼むからこちらも忙しいのでこんなエントリを書かせないでほしい (挨拶)。もしくは僕を暇にしてこういうエントリを書かせるためのプログラマーを募集しています (挨拶)。 JWT (JSON Web Token; RFC 7519) を充分なリスクの見積もりをせずセッションに使う事例が現実に観測されはじめ、周りにもそれが伝... 続きを読む

JSON Web Token（JWT）の紹介とYahoo! JAPANにおけるJWTの活用 - Yahoo! JAPAN Tech Blog

2017/12/01 131 users iOS サーバーサイド SDK 略称 デバイス

こんにちは。 IDソリューション本部の都筑です。 新卒2年目で普段はYahoo! ID連携のサーバーサイド、iOSのSDKの開発などを担当しています。 今回は最近ユーザーやデバイスの認証で用いられる”JSON Web Token（JWT）”についての解説と、Yahoo! JAPANと他社の活用事例を紹介したいと思います。 JWTとは？ JWTとはJSON Web Tokenの略称であり、属性情報（... 続きを読む

JOSEは、絶対に避けるべき悪い標準規格である | プログラミング | POSTD

2017/04/13 215 users POSTD JWS encryption プログラミング 本稿

もし既にJavascript Object Signing and Encryption（JOSE）を実装することを決めているなら、それがJSON Web Tokens、JSON Web Encryption（JWE）、JSON Web Signatures（JWS）のいずれであっても、その決断に疑問を持つべきです。注：　本稿は元はJSON Web Tokens（JWT）について書いたものですが、... 続きを読む

HDE Advent Calendar Day 2: GoでOAuth2/OpenIDとJOSE (JWA/JWT/JWK/JWS/JWE) - HDE Advent Calendar 2015

2015/12/02 30 users JWS OpenID JWA oauth2 子育て

2015-12-02 HDE Advent Calendar Day 2: GoでOAuth2/OpenIDとJOSE (JWA/JWT/JWK/JWS/JWE) HDE Advent Calendar二日目です。子育ての話の続きでも書こうかと思ったのですがうちの子供がどれだけ可愛いかを話してもう会社と関係ないところに行ってしまいそうでしたので止めました。 blog.hde.co.jp では何を書... 続きを読む

ペパボテックカンファレンスで EC の話を聞いてきた - kakakakakku blog

2015/11/12 38 users ペパボテックカンファレンス ＥＣ Dots meetup 感じ

2015-11-13 ペパボテックカンファレンスで EC の話を聞いてきた 勉強会 EC サービスの話が聞きたくて「ペパボテックカンファレンス」に参加してきた！ dots. にはじめて潜入したけど，超オシャレ空間だったし，相当広かったから大きめの Meetup ができそうな感じだった． JWTを使った簡易SSOで、徐々にシステムをリニューアルしている話 JWT (JSON Web Tokens) ... 続きを読む

JWTを使った簡易SSOで、徐々にシステムをリニューアルしている話

2015/11/12 78 users 土屋 GMO Pepabo カラーミーショップ システム

JWTを使った簡易SSOで、徐々にシステムをリニューアルしている話 1. JWTを使った簡易SSOで 徐々にシステムを リニューアルしている話 GMO Pepabo @tsuchikazu(nessy) 2015/11/12 pepabo tech conference ec #4 2. JWT知っている人？ 3. 自己紹介 土屋 和良@tsuchikazu(nessy) カラーミーショップ ht... 続きを読む

インドの広告代理店の「暴走」で、フォードがおかんむり - Market Hack

2013/03/24 36 users おかんむり テレグラフ フォード トンプソン 暴走

テレグラフが伝えるところによると大手広告会社、WPPグループの傘下の広告代理店、JWT（＝ジェームズ・ウォルター・トンプソンの略）のインド子会社が下のような広告を米国のフォード本社に断りなく出し、大問題になっています。 インドでは外国人観光客に対する集団レイプ事件が起こったばかりで、ちょうどインド議会が反レイプ法案を可決したところでした。反レイプ法は集団レイプや性的暴行により被害者が死んだり、重症... 続きを読む

【ブラジル発】見た目と音楽をCoca-Colaで統一　雑誌を一瞬でiPhone専用スピーカーに変えるキャンペーン実施中 | IRORIO（イロリオ） - 海外ニュース・国内ニュースで井戸端会議

2012/09/27 20 users Coca-Cola IRORIO イロリオ iPhone 統一

斬新な取り組みである。ブラジルのオンラインラジオであるCoca-Cola.FMが一周年を迎えるのを記念して、代理店のJWTが雑誌、“Capricho Magazine”にちょっと変わった仕掛けをした。雑誌をくるくると丸めてiPhoneを差し込めば、スピーカーに早変わり。仕上がり時にはコカ・コーラのイメージが強調される。 ブランドイメージがあればこそのプロジェクトと言えそうだが、このアイディアは面白... 続きを読む

2011年広告界占う10のトレンド――JWT発表 | AdverTimes（アドタイ）

2011/04/01 100 users AdverTimes アドタイ トンプソン トレンド 小売り

米広告会社ジェイ・ウォルター・トンプソン（JWT）日本法人は、06年から毎年発表している、その年の「10大トレンド」の2011年版を発表した。トレンドの内容はJWTニューヨーク本社のトレンド調査チームが、各国の同社プランナーの視点や調査結果と、小売りや、メディア、テクノロジー、学術界などにインタビューしたもの。これに日本の状況を踏まえた視点を加えた。2011年10大トレンドのキーワードは次のとおり... 続きを読む