ПОДХОДЫ К КЛАССИФИКАЦИИ ВЕКТОРОВ АТАК И УЯЗВИМОСТЕЙ JSON WEB TOKENS

##plugins.themes.bootstrap3.article.main##

Искандер Рашитович Зулькарнеев
Константин Алексеевич Басалай

Аннотация

В статье рассмотрены вопросы обеспечения безопасности JSON Web Tokens при их использовании в микросервисной архитектуре, мобильных и веб-приложениях. Обозначены преимущества использования JWT по сравнению с другими методами аутентификации и авторизации. Авторами поднята проблема реализации системного и комплексного подхода по обеспечению безопасности при использовании JWT и отсутствия какой-либо классификации уязвимостей и векторов атак на JWT в отечественной и зарубежной научно технической литературе. В ходе работы был исследован полный жизненный цикл JWT и их структура, используемые стандартные поля и алгоритмы формирования подписи, была составлена классификация уязвимостей на основе этапов жизненного цикла токена, и для каждого класса уязвимостей определены вектора атак. Были проанализированы существующие 119 уязвимостей базы CVE, связанных с JWT, определены новые категории и построены корреляции по данным с 2015г. На основе этого анализа авторами была предложена классификация векторов атак на основе жизненного цикла JWT и объектов атаки, а также выявлены новые уязвимости, которые не рассмотрены в научных работах на данный момент. Данная классификация может быть использована при проектировании информационных систем на базе микросервисной архитектуры для обеспечения безопасности процессов аутентификации и авторизации на стороне клиента и сервера, определения слабых мест работающих сервисов, а также подбора инструментария для тестирования безопасности JWT.

##plugins.themes.bootstrap3.article.details##

Раздел
Методы и системы защиты информации, информационная безопасность
Биографии авторов

Искандер Рашитович Зулькарнеев

Доцент кафедры информационной безопасности федерального государственного автономного образовательного учреждения высшего образования «Тюменский государственный университет». 625003, г. Тюмень, ул. Володарского, 6. 

Константин Алексеевич Басалай

Студент федерального государст-венного автономного образовательного учреждения высшего образования «Тюменский государственный университет». 625003, г. Тюмень, ул. Володарского, 6.