Уязвимость плагина аутентификации веб-токенов JSON djangorestframework-simplejwt программной платформы для веб-приложений Django связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию с помощью метода for_user
Компенсирующие меры:
Перед генерацией токена доступа для пользователя необходимо провести тщательную верификацию для определения его активности. Этот этап валидации является ключевым для предотвращения несанкционированного доступа и помогает смягчить данную уязвимость.
Реализуйте эту проверку как дополнительный уровень безопасности в приложении, что поможет предотвратить возможные атаки, пример:
from django.contrib.auth.models import User
from rest_framework_simplejwt.tokens import AccessToken
# Получение пользователя по ID
user = User.objects.get(id=inactive_user_id)
# Проверка активности пользователя перед созданием токена доступа
if user and user.is_active:
token = AccessToken.for_user(user)
| Балл | 4.6 — средняя опасность |