Bei der Sicherheitsüberprüfung moderner Web-Applikationen und APIs spielen JSON Web Tokens (JWTs) eine entscheidende Rolle. Da sie die Authentifizierung und Autorisierung beim Zugriff gewährleisten, stellen ungültige respektive abgelaufene JWTs während eines Penetration Tests ein Problem dar – besonders wenn dies nicht zeitnah erkannt und korrigiert wird, da der Security Tester dann basierend darauf falsche Schlussfolgerungen zieht und so potenziell Schwachstellen falsch einordnet oder nicht findet. Leider ist die Unterstützung von JWTs innerhalb des Interception-Proxys «Burp Suite» noch nicht auf demselben Niveau, wie dies bei klassischen Cookies der Fall ist. Mit unserem neuen Burp-Plugin JWT Monitor adressieren wird genau dieses Problem, wodurch der Security Tester die Gültigkeit vom JWT nicht mehr ständig im Blick haben muss und sich voll und ganz auf die Identifikation von Sicherheitslücken konzentrieren kann.

Wie funktioniert der JWT Monitor?

JWT Monitor wurde entwickelt, um die Handhabung des JWTs zu vereinfachen und den Security Tester so zu entlasten. Das Plugin ersetzt dabei vorhandene JWTs in ausgehenden API-Anfragen automatisch mit dem gültigen Token, das vorab im Plugin hinterlegt wurde. Dabei werden sowohl der Authorization-Header als auch Cookies berücksichtigt. JWT Monitor analysiert ausserdem kontinuierlich die verbleibende Gültigkeit des hinterlegten Tokens und zeigt frühzeitig an, wenn ein Ablauf bevorsteht. Und falls der Autopilot-Modus aktiviert ist, pausiert das Plugin alle aktuell laufenden Tasks automatisch, sobald das hinterlegte Token weniger als eine Minute gültig ist. Nach Eingabe eines neuen Tokens mit ausreichender Gültigkeit werden die Tasks dann automatisch wieder fortgesetzt.

Welche Vorteile bietet der JWT Monitor?

Mit dem JWT Monitor können unsere Security Tester besonders mit dem Autopilot-Modus deutlich effizienter arbeiten. Da der Security Tester die Gültigkeit des JWTs nicht mehr aktiv selbst überwachen muss, kann er beispielsweise im Hintergrund einen Scan lancieren und sich dann gleichzeitig manuellen Checks und Tests widmen anstelle den Scan kontinuierlich manuell zu überwachen. Dadurch resultiert eine gesteigerte Effizienz, wodurch eine breitere Testabdeckung erreicht werden kann. Gleichzeitig wird die Qualität erhöht, da abgelaufene Tokens der Vergangenheit angehören. Unsere Kunden profitieren so bei ihrem nächsten Web Penetration Test von einer noch effizienteren und präziseren Überprüfung.

Erweiterung selbst ausprobieren?

Interessieren Sie sich für die Funktionsweise des JWT Monitors oder möchten Sie das Plugin selbst testen? Weitere Informationen und technische Details finden Sie auf unserem Github.