JWT 해킹 사례를 통한 취약점 분석하기

많은 웹서비스들이 JWT(JSON Web Tokens)를 쿠키에 저장해놓고 사용자 인증에 사용하고 있습니다. 먼저 JWT가 무엇인지 알아보고, JWT의 취약점에 대해서 설명합니다. _ JWT란? JWT는 서버와 클라이언트 간의 데이터를 안전하게 보관하고 처리하기 위한 인터넷 표준 RFC 7519 입니다. 그리고 JWT는 header, payload, signature를 base64 인코딩한 문자열입니다. 토큰에 포함된 내용들은 암호화되어 있지 않습니다. 그래서 누구나 확인 할 수 있습니다. JWT 소개는 velopert님 블로그에서 아주 자세하게 설명하고 있어서 아래 링크로 대신합니다. [JWT] JSON Web Token 소개 및 구조 _ JWT 서명 원리 JWT는 기본적으로 HS256 알고리즘을 가장..

• format_list_bulleted 개발
• · 2021. 9. 29.
• textsms

ECDSA 서명으로 JWT 토큰 생성 및 검증하기

안녕하세요. 안피곤입니다. ECDSA는 암호화폐에 가장 많이 사용되는 암호화 알고리즘입니다. 그리고 RSA 보다 성능이 더 좋다고 알려져 있습니다. 그리고 JWT(JSON Web Token)은 보안 및 인증에 가장 많이 사용되고 있습니다. 이 2개를 가지고 토큰을 생성하고 인증 하는 방법을 구현합니다. 보통은 JWT 생성에 SHA 해시 알고리즘을 사용하는 HMAC을 사용합니다. 이것은 단방향 암호화 방식입니다. 하지만 ECDSA를 사용하면 비대칭키를 사용하기 때문에 부인 방지 및 메세지 인증을 처리 할수 있습니다. 구현을 위해선는 아래 두 라이브러리가 필요합니다. const jwt = require("jsonwebtoken"); const ECDSA = require('ecdsa-secp256r1'); ..

• format_list_bulleted 개발
• · 2019. 6. 19.
• textsms