JWTのalg=none脆弱性のテストをしたい

Nodejsでjwtの脆弱性であるalg=none攻撃をテストサーバで実装してみたいのですが、うまくいきません。

ライブラリは、

jsonwebtoken@4.1.0

です。

下記のコードで署名抜きのjwtを認証しているのですがalg=none攻撃が成功しません。

const jwt = require("jsonwebtoken");

const fs = require("fs");
const PUBLIC_KEY = fs.readFileSync("../publicKey.pem"); // 公開鍵

let token =
  "eyJhbGciOiJSUzI1NiJ9.eyJ1c2VyIjogIueUsOS4rSJ9.Tvowrr98fHxyHjRtzHKe58cBP7vWUzYvRXRTS1e4zZNWUqDopnRf4fAZ9cbcx8ovvj9NZetqo1lz6eQK2hsF6Q";

const secretsOrPrivateKey = PUBLIC_KEY;

jwt.verify(token, secretsOrPrivateKey, (err, decoded) => {
  if (err) {
    console.log("jwtの解読に失敗しました");
  } else {
    console.log(decoded);
  }
});

どなたかわかる方はいませんでしょうか？

テスト用なのでAPI通信はしていません。
このコマンドから実行しています。

node test.js

jwtのヘッダとペイロードは

header = {"alg": "RS256"}
payload = {"user": "田中"}

になり、
この結果が返ってきます。

{ user: '田中' }

ここで、jwtを以下に変更して、署名を削除し、再度base64でエンコードし

header = {"alg": "none"}
payload = {"user": "admin"}

再度base64でエンコードしjwt

token = "eyJhbGciOiAibm9uZSIsICJ0eXAiOiAiSldUIn0.eyJ1c2VyIjogImFkbWluIn0."

でalg=noneの脆弱性のテストをすると、

jwtの解読に失敗しました

と出てしまいます。

ockeghem

2021/12/11 08:10

ソースコードだけではなく、どのような入力値を与えて、どのような結果になるかを追記してください。

行動規範の内容に同意します

回答1件

ベストアンサー

jwt.verifyの第2引数（secretsOrPrivateKey）をnullにしたら成功するようです。すなわち、alg=none攻撃の対策として、キーが指定されている場合はalg=noneを受け入れないようにしているのでしょう。

投稿2021/12/11 12:00

ockeghem

総合スコア11701

lkl191

2021/12/11 12:42

ありがとうございます！出来ました！

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.46%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

JWTのalg=none脆弱性のテストをしたい

関連した質問