ПОДХОДЫ К КЛАССИФИКАЦИИ ВЕКТОРОВ АТАК И УЯЗВИМОСТЕЙ JSON WEB TOKENS
##plugins.themes.bootstrap3.article.main##
Аннотация
В статье рассмотрены вопросы обеспечения безопасности JSON Web Tokens при их использовании в микросервисной архитектуре, мобильных и веб-приложениях. Обозначены преимущества использования JWT по сравнению с другими методами аутентификации и авторизации. Авторами поднята проблема реализации системного и комплексного подхода по обеспечению безопасности при использовании JWT и отсутствия какой-либо классификации уязвимостей и векторов атак на JWT в отечественной и зарубежной научно технической литературе. В ходе работы был исследован полный жизненный цикл JWT и их структура, используемые стандартные поля и алгоритмы формирования подписи, была составлена классификация уязвимостей на основе этапов жизненного цикла токена, и для каждого класса уязвимостей определены вектора атак. Были проанализированы существующие 119 уязвимостей базы CVE, связанных с JWT, определены новые категории и построены корреляции по данным с 2015г. На основе этого анализа авторами была предложена классификация векторов атак на основе жизненного цикла JWT и объектов атаки, а также выявлены новые уязвимости, которые не рассмотрены в научных работах на данный момент. Данная классификация может быть использована при проектировании информационных систем на базе микросервисной архитектуры для обеспечения безопасности процессов аутентификации и авторизации на стороне клиента и сервера, определения слабых мест работающих сервисов, а также подбора инструментария для тестирования безопасности JWT.