Перейти на PRO

Как можно перехватить JWT-токен и какие существуют основные векторы атак?

Тип вопроса: Безопасность Вероятность: 10% Категория: Golang Разработчик

Ответ

Да, JWT-токен можно перехватить, если он передаётся или хранится небезопасно. Это одна из ключевых проблем безопасности в системах аутентификации.

Основные векторы атак:

  1. Перехват в сети (Man-in-the-Middle): Если использовать незащищённое соединение HTTP вместо HTTPS, злоумышленник может прослушать трафик и украсть токен.
  2. XSS-атаки (Cross-Site Scripting): Если токен хранится в localStorage или sessionStorage, внедрённый на страницу вредоносный JavaScript-код может его прочитать и отправить на сервер злоумышленника. То же касается cookie без флага HttpOnly.
  3. CSRF-атаки (Cross-Site Request Forgery): Если токен хранится в cookie без надлежащей защиты (например, без атрибута SameSite), злоумышленник может заставить браузер пользователя отправить запрос на ваш сайт, и браузер автоматически прикрепит cookie с токеном.
  4. Утечка секретного ключа: Если используется симметричный алгоритм (например, HS256), и секретный ключ попадает к злоумышленнику, он сможет подписывать любые токены от имени вашего сервера.
  5. Небезопасное хранение на клиенте: В мобильных приложениях или десктоп-клиентах токен может быть сохранён в незащищённое хранилище, откуда его могут извлечь другие приложения.

Как защититься:

  • Используйте HTTPS: Всегда и везде. Это базовое правило для шифрования канала передачи.
  • Безопасное хранение на клиенте: Для веб-приложений лучшей практикой является хранение токена в HttpOnly, Secure cookie с атрибутом SameSite=Strict или Lax. Это защищает от XSS (токен недоступен из JavaScript) и CSRF.
  • Короткое время жизни токена (TTL): Устанавливайте короткий срок действия для access-токенов (например, 5-15 минут) и используйте refresh-токены для получения новых. Это минимизирует ущерб в случае утечки.
  • Надёжный секретный ключ: Используйте длинные, сложные и случайно сгенерированные ключи для подписи токенов. Никогда не храните их в коде.

Ответ 18+ 🔞

А, блядь, JWT-токен! Ну, это же классика, как Муму Герасима топить пошёл — вроде и доброе дело задумал, а в итоге пиздец. Так и тут: вроде крутая штука, а если по-распиздяйски использовать — всё, приехали, токен у злодея в кармане.

Смотри, как это обычно бывает, ёпта. Ты сидишь такой, думаешь: «О, у меня тут токен летает, всё шифровано, красота!». А какой-нибудь хитрожопый мудак уже его в полёте ловит, как муху на хуй. И понеслась.

Основные способы, как эту хрень у тебя спиздят:

  1. Прослушка по дороге (Man-in-the-Middle). Это если ты, лох, решил на HTTP гонять данные, а не на HTTPS. Ну, типа, «ой, да у меня тут внутренний сервис, че париться». А потом сидишь и удивляешься, пиздец, откуда у всех твои токены. Это как письмо голубем отправить — любой кот сука-собака перехватит.
  2. XSS-атаки (Cross-Site Scripting). Вот это, блядь, чистая драма. Хранишь ты свой драгоценный токен в localStorage, как в сундучке. А на сайт тебе какой-то пидарас шерстяной скрипт подкидывает. Этот скрипт, сука, тихонечко так: «Э, бошка, думай!» — и выгребает из твоего сундучка всё, что плохо лежит, отправляя прямиком к себе на сервак. И прощай, аутентификация!
  3. CSRF-атаки (Cross-Site Request Forgery). Тут история про доверие, которое ебать ноль. Токен в куке болтается, но кука без защиты. Злодей со своего сайта тебе ссылочку подсовывает. Ты её кликаешь, а твой же браузер, предатель сука, автоматом лепит эту куку с токеном в запрос на твой же сайт. И злодей от твоего имени что хочет, то и делает. Во все дыры давалка получается.
  4. Утечка секретного ключа. Это вообще апофеоз. Используешь ты алгоритм HS256, ключик у тебя один на всё. И вот ты этот ключ, мудя, в код захардкодил или в репу закоммитил. Всё, пизда. Теперь любой, кто его найдёт, может сам себе токены, блядь, как пирожки печь, от имени твоего сервера. Сам от себя охуеешь потом.
  5. Хранение в говне. Ну, это вечное. В мобилке токен в SharedPreferences сунул, в десктопе в текстовый файл на рабочем столе сохранил. Любое другое приложение или вирус — хуй с винтом — и вытащит его, как конфетку из кармана ребёнка.

Так как же не обосраться, блядь?

  • HTTPS, ёпта! Это не обсуждается. Вообще. Никогда. Всегда. Это как кондом — без него нахуй никуда.
  • Храни правильно, дурак! Для веба — только HttpOnly, Secure куки с атрибутом SameSite=Strict/Lax. Токен тогда из JavaScript не вытащить (прощай, XSS), и сам он не прилипнет к левым запросам (прощай, CSRF). localStorage для этого — чих-пых тебя в сраку.
  • Делай токены одноразовыми, как носки. Access-токену дай жить 5-15 минут, не больше. А для продления юзай refresh-токен. Украли access-токен? Да похуй, через четверть часа он накрылся медным тазом. Волнение ебать — минимум.
  • Ключ — твоё всё. Генерируй его длинным, сложным и храни как зеницу охуя. Ни в коде, ни в репозитории. В специальных хранилищах секретов или переменных окружения. Иначе — ядрёна вошь, будет тебе больно.

Вот и вся философия. Технология мощная, но, как и всё в этом мире, требует, чтобы мозги были включены. А то получится, как у того Герасима — вроде всё для себя делал, а в итоге самое дорогое утопил. Не будь Герасимом, будь умнее.

© ХакСобесов, 2026
support@hacksobesov.com