2015 年在 PyJWT 中发现的漏洞

Posted

技术标签:

【中文标题】2015 年在 PyJWT 中发现的漏洞【英文标题】:Vulnerabilities found in PyJWT back in 2015 【发布时间】:2017-09-24 23:33:03 【问题描述】:

只是想使用 PyJWT 库确认与 Flask-JWT 相关的内容。早在 2015 年 (https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/) 就发现了 PyJWT 的漏洞问题。

我不确定现在是否已经为 Flask-JWT 解决了这个问题,或者仍然需要解决这个问题?在那里找不到太多信息。

有人知道吗?

【问题讨论】:

维护的库在 2 年内不会有漏洞。 就是这样!上一次在 github 上提交 flask-jwt 是在两年前!所以不确定 已维护。你的谷歌坏了吗? github.com/jpadilla/pyjwt 我的错,问题缺少信息 【参考方案1】:

原始的 Flask-JWT 库不再维护,出于任何原因,除非别无选择,否则不应使用此类库。

看来它所依赖的PyJWT库已经有了fix,Flask-JWT在依赖中指定了足够的版本。

无论如何,这是我找到的最新替代方案:https://github.com/vimalloc/flask-jwt-extended

【讨论】:

@GeekOnGadgets 如果有帮助,我将不胜感激您接受答案。

以上是关于2015 年在 PyJWT 中发现的漏洞的主要内容,如果未能解决你的问题,请参考以下文章

发现GraphQL端点和SQL注入漏洞

PyJWT,需要 PEM 格式的密钥

java反序列化漏洞——2015年被低估的“破坏之王”

如何使用带有公共 PEM 证书的 python PyJWT 验证 JWT?

如何在 Node.js 中发现 JavaScript 内存漏洞

360发现macOS蓝牙远程无接触漏洞