Domanda di sicurezza JWT e CSRF TOKEN

1

Supponiamo di aver creato un sito Web che in ogni richiesta di API consente di inviare token JWT e token CSRF. Quindi creiamo un caso del genere:

Sono connesso all'utente A e faccio una richiesta ajax all'API con token JWT e CSRF. Vado in rete e leggo questi token e li copio.

Successivamente vado ad es. su un altro server o iniettando un programma e inserisco questo token JWT e CSRF. Sarò in grado di ricevere dati? Se sì / no perché? Devo aggiungere che cors è disabilitato

In attesa di risposte. Grazie mille e cari

    
posta Juri Bojka 16.03.2017 - 18:18
fonte

2 risposte

1

Sembra che tu non sia chiaro su come vengono utilizzati questi token.

Un JWT è un tipo di "token bearer": si tratta di un token creato da un server particolare e assegnato a un utente per mantenere il segreto. L'utente può in seguito mostrare questo token al server per provare la propria identità.

È molto simile a una password: si invia la password a un sito Web e il server pensa "questa persona conosce la password, quindi deve essere l'utente corretto". Tuttavia, l'invio della password StackExchange a Yahoo Mail non ti consente di accedere, perché Yahoo non riconoscerà la password per un sito Web non correlato. Tuttavia, se prendi la tua password / token e la usi in un altro browser per StackExchange, allora ti lascerà comunque entrare - il che ha senso, perché è la tua password / token.

Un token CSRF è un diverso tipo di token, usato per prevenire un attacco diverso, ma funzionerà comunque solo per i server che lo riconoscono, proprio come una password o un token JWT / Bearer.

    
risposta data 16.03.2017 - 18:51
fonte
0

Dipende dal servizio.

In alcuni casi, i token potrebbero essere associati al tuo indirizzo IP, ad es. tramite un record di database detenuto dal servizio. In altri casi, il token è valido indipendentemente da dove lo si invia.

    
risposta data 16.03.2017 - 19:17
fonte

Leggi altre domande sui tag