检测到 JSON Web Token
info Web App Scanning 插件 ID 112686
语言:
简介
检测到 JSON Web Token描述
JSON Web Token (JWT) 是一项开放标准 (RFC 7519),它定义了一种数据结构,用于在当事方之间将声明作为 JSON 对象安全地传输。JSON Web Token 可实例化为 JSON Web Signature (JWS) 或 JSON Web Encryption (JWE),具体取决于应用程序安全注意事项。基于 JSON Web Signature 的标记是 API 实现中最常用的标记,并且使用三个以句点分隔的 base64 URL 编码部分构建:
- JSON Object Signing 和 Encryption (JOSE) 标头:至少描述用于签名或加密的算法 (alg),以及正在处理的内容的类型 (typ)。对于 JSON Web Tokens,类型通常设置为“JWT”。
- 负载:包含要共享的声明的 JSON 对象。声明可属于三类:注册(来自规范)、公共或私有,其名称在声明集中必须是唯一的。
- 签名:通过使用标头中的特定算法和密钥或私钥计算得出。这可确保 JSON Web Token 的完整性。
扫描程序检测到存在基于 JSON Web Signature 的标记(包含在输出中提供的信息)。
另见
https://blog.angular-university.io/angular-jwt/
https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet.html
插件详情
严重性: Info
ID: 112686
类型: remote
系列: Web Applications
发布时间: 2021/2/8
最近更新时间: 2023/8/29
扫描模板: api, basic, full, pci, scan