biscuit-java — это java-реализация Biscuit, токена аутентификации и авторизации для архитектур микросервисов. Сторонние блоки могут быть сг…
biscuit-java — это java-реализация Biscuit, токена аутентификации и авторизации для архитектур микросервисов. Сторонние блоки могут быть сгенерированы без передачи всего токена стороннему органу. Вместо этого можно отправить запрос ThirdPartyBlock, предоставляя только необходимую информацию для создания стороннего блока и его подписания, которая включает открытый ключ предыдущего блока (используемый в подписи) и открытые ключи, входящие в таблицу символов токена (для интернирования открытых ключей в выражениях datalog). Запрос стороннего блока, подделанный злоумышленником, может обманом заставить сторонний орган сгенерировать datalog, доверяющий неверной паре ключей. Эта уязвимость исправлена в версии 4.0.0.
Система на кристалле (SoC) реализует механизм токенов безопасности для разграничения разрешённых и запрещённых действий в зависимости от того, из какого субъекта исходит транзакция. Однако токены безопасности ненадлежащим образом защищены.
https://cwe.mitre.org/data/definitions/1259.html →Открыть в коллекции CWE →Нет описания.
https://capec.mitre.org/data/definitions/121.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/681.html →Открыть в коллекции CAPEC →