【WEB漏洞原理】JWT安全

已于 2023-11-25 13:04:28 修改
阅读量678 收藏 1
点赞数 3
分类专栏: # Web安全 文章标签: 安全 网络安全 web安全 JWT token
于 2023-09-13 21:10:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhaoSong_/article/details/132864993
版权

文章目录

属于越权漏洞

理论知识

cookie(放在浏览器)

​ cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏 览器实现的一种数据存储功能。

cookie 由服务器生成,发送给浏览器,浏览器把 cookie 以 kv 形式保存到某个目录下的 文本文件内,下一次请求同一网站时会把该 cookie 发送给服务器。由于 cookie 是存在客户 端上的,所以浏览器加入了一些限制确保 cookie 不会被恶意使用,同时不会占据太多磁盘空 间,所以每个域的 cookie 数量是有限的

session(放在 服务器)

session 从字面上讲,就是会话。这个就类似于你和一个人交谈,你怎么知道当前和你交 谈的是张三而不是李四呢?对方肯定有某种特征(长相等)表明他就是张三。

session 也是类似的道理,服务器要知道当前发请求给自己的是谁。为了做这种区分,服 务器就要给每个客户端分配不同的“身份标识”,然后客户端每次向服务器发请求的时候,都 带上这个“身份标识”,服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份 标识”,可以有很多种方式,对于浏览器客户端,大家都默认采用 cookie 的方式。

服务器使用 session 把用户的信息临时保存在了服务器上,用户离开网站后 session 会被 销毁。这种用户信息存储方式相对 cookie 来说更安全,可是 session 有一个缺陷:如果 web 服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候 session 会丢失。

token

Token是用户进行一些权限操作时的许可凭证。token本质是字符串,里面包含了用户信息,过期时间,加密方式等。token是在前端进行登录之后,由服务器分发给前端,然后前端进行权限操作时,再将token发送给服务器,由服务器来验证。token是有过期时间的,一但token过期,用户就要重新登陆让服务器生成新的token。

在 Web 领域基于 Token 的身份验证随处可见。在大多数使用 Web API 的互联网公司中, tokens 是多用户下处理认证的最佳方式。

以下几点特性会让你在程序中使用基于 Token 的身份验证

  1. 无状态、可扩展
  2. 支持移动设备
  3. 跨程序调用
  4. 安全

jwt(json web token)

一个 JWT 实际上就是一个字符串,它由三部分组成:

  • 头部(head)
  • 负载(payload)
  • 签名(Signature)

image-20230913194257423

前两部分需要经过 Base64 编码,后一部分通过前两部分Base64编码后再加密而成

header

头部通常由两部分组成:算法类型和令牌类型。

  • 算法类型:指定用于生成签名的算法,例如 HMAC、RSA 或者 ECDSA。
  • 令牌类型:指定令牌的类型,常见的是 JWT。

头部使用 Base64URL 编码表示,并作为整个 JWT 的第一部分。头部的一个示例:

{
  "alg": "HS256",
  "typ": "JWT"   
}

alg:
	是说明这个 JWT 的签名使用的算法的参数,常见值用 HS256(默认),HS512 等,也可以为
None。HS256 表示 HMAC SHA256typ:
	说明这个 token 的类型为 JW

算法类型也可以是 none,表示不加密,不加密的话签名就没用了,但是最后那个 点 必须要有
payload

载荷存储了有关用户或实体的声明和其他有关信息

  • 声明:如用户 ID、角色、权限等信息
  • 注册声明:包含一些标准的声明(比如发行人、过期时间等)和一些自定义的 声明

载荷也使用 Base64URL编码表示,并作为整个 JWT 的第二部分。载荷的一个示例:

{
 "sub": "1234567890",
 "name": "John Doe",
 "iat": 1516239022
}

image-20230913195224040

Signature

签名是拿到被base64编码的头部和负载后,用标头里的加密算法对拿到的标头和负载进行加密,然后作为jwt的第三部分。签名是用来验证标头和负载中的信息有没有被篡改。如果标头和负载的信息被篡改,则这个jwt是失效的。反之验证通过 ----------------用于验证 JWT 的完整 性和真实性

服务器有一个不会发送给客户端的密码(secret),用头部中指定的算法对头部和声明的内容用 此密码进行加密,生成的字符串就是 JWT 的签名

签名生成方式:将头部和载荷进行 Base64URL 编码后拼接在一起,然后使 用指定的加密算法(如 HMAC、RSA)进行签名,将生成的签名添加到JWT

JWT通信流程

image-20230913193941549

JWT与Token 区别

相同点
  • 都是访问资源的令牌
  • 都可以记录用户的信息
  • 都是使服务端无状态变化
  • 都是验证成功后,客户端才能访问服务端上受保护的资源
区别
  • Token: 服务端验证客户端发送过来的Token 时,还需要查询数据库获取用户信息,然后验证Token 是否有效
  • JWT: 将token 和 Payload 加密后存储于客户端,服务端只需要使用秘钥进行校验即可,不需要查询或者减少查询数据库,因为JWT自包含了用户信息和加密的数据

WebGoat靶场–JWT tokens

环境启动

启动WebGoat靶场

java -jar webgoat-server-8.0.0.M17.jar --server.port=8888 --
server.address=192.168.8.8

image-20230913193559388

访问WebGoat靶场

127.0.0.1:8888/WebGoat

image-20230913193656453

注册一个用户

image-20230913193820738

第四关

通过目标:以管理员的身份清楚普通用户的投票数

image-20230913200732662

image-20230913200854847

点击删除投票的按钮, BurpSuite拦截数据包,并观察数据包

image-20230913201113479

image-20230913201257233

访问jwt.io网站,粘贴进去

image-20230913201402858

可以看出使用的加密算法为HS512

Payload:adminfalseuser不是admin,而是Tom

选中Payload

image-20230913201641103

来到base64这个网站,admin修改为true

image-20230913202005582

image-20230913202053889

image-20230913202116650

再把JWT头部的算法类型改为none,如果改为了none,后面的签名就没有意义了

签名的意义就是为了加密算法是否正确,内容是否正确,现在不用加密了,所以最后一个.后面的签名部分就不要了

image-20230913202440286

image-20230913202500971

image-20230913202813204

image-20230913202929882

刷新页面

image-20230913203028672

成功重置!!

第五关

修改 exp 有效时间 ,修改username为 WebGoat

image-20230913211332034

image-20230913211400720

image-20230913211632480

爆破秘钥

 hashcat -m 16500 jwt.txt -a 3 -w 3 1.txt
 
-m 16500 这里的 16500 对应的就是 jwt 的 token 爆破;
-a 3 代表蛮力破解 
-w 3 可以理解为高速破解,就是会让桌面进程无响应的那种高速
jwt.txt 是我把题目要求破解的 token 保存到的文件 
pass.txt 密码字典

image-20230913211204638

得出密钥是victory

image-20230913211718117

第七关

通过目标:冒充tom用户,让tom帮我们付钱

BurpSuite拦截数据包,并观察数据包

image-20230913203801862

image-20230913203935783

并不是说一定要把JWT放到Cookie字段里

靶场提供了一个JWT ,点击here跳转链接

image-20230913204049743

image-20230913204124501

image-20230913204249762

image-20230913204628915

image-20230913204343107

修改Payload的过期时间和头部的算法类型

unix时间互换

image-20230913204736618

image-20230913205049946

image-20230913205125999

image-20230913205313986

image-20230913205345949

过期的秋刀鱼-
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT安全问题—学习笔记(2)
m0_57781768的博客
11-17 1080
有了签名之后,即使 JWT 被泄露或者解惑,黑客也没办法同时篡改 Signature 、Header 、Payload这是为什么呢?因为服务端拿到 JWT 之后,解析出其中包含的 Header、Payload 以及 Signature。服务端根据 Header、Payload、密钥再次生成一个 Signature。拿新生成的 Signature 和 JWT 中的 Signature 作对比,如果一样就说明 Header 和 Payload 没有被修改。
WebApiDemo(net6+swagger+jwt)
05-31
1、框架是net6 2、包含了jwt 3、接口是swagger 4、vs2022
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
1.用.Net6平台WebApi项目开发 2.使用jwt给用户颁发密钥 3.swagger验证配置 4.接口jwt验证密钥方法 5.运行就能使用
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
webapi jwt身份验证请求token(亲测通过)源码
Net.WebApi_JWT.zip
09-11
.Net WebAPi 下实现Swagger接口文档、JWT身份验证、autofac的注入, EF DBFirst机制,DDD模式,SQLServer数据库
web api JWT token认证
04-24
web api JWT token认证 Demo 代码,包含跨域访问 api设置。
JWT令牌创建和解析讲解
Leon_Jinhai_Sun的博客
05-09 2254
JJWT的介绍和使用 JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。 官方文档: https://github.com/jwtk/jjwt 创建TOKEN (1)依赖引入 在parent项目中的pom.xml中添加依赖: <!--鉴权--> <dependency> <groupId>io.j
Token篡改机制-JWT
Zz1366的博客
05-20 1179
jwt
JWT介绍:JWT可以防止篡改原理是什么?
zy1992As的博客
05-22 569
JSON Web Token(JWT)是一种使用JSON格式传递数据的网络令牌技术,它是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任,它可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止内容篡改。官网:https://jwt.io/使用JWT可以实现无状态认证,那什么是无状态认证?
JWT如何防止 Token篡改
张俊杰 的博客
10-22 5407
此时 signature字段就是关键了,能被解密出明文的,只有header和payload 假如黑客/中间人串改了payload,那么服务器可以通过signature去验证是否被篡改过。 在服务端在执行一次 signature = 加密算法(header + “.” + payload, 密钥);, 然后对比 signature 是否一致,如果一致则说明没有被篡改。 所以为什么说服务器的密钥不能被泄漏。 如果泄漏,将存在以下风险: 客户端可以自行签发 token 黑客/中间人可以肆意篡改 token 安全
JWT如何鉴别token是否被篡改
DHZYKN
07-03 4803
关于JWT,可参考:https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc 一.jwttoken分成三个部分: 1.header:对token类型和加密类型 进行base64加密得到; 2.payload:对一些有效信息进行base64加密得到; 3.signature:对base64加密后的header和base64加密后的payload使用.连接组成的字符串,再通过header中声明的加.
基于 pac4j-jwtWEB 安全组件
11-17
主要依托 pac4j-jwt 来提供默认使用 JWTWEB 安全组件,迅速集成,只需要少量配置+代码即可实现基本的接口防护,默认使用 jwt 进行身份认证,灵活的 jwt 配置,默认签名+加密 更多高级功能只需实现对应接口并注入到...
身份认证2_解析jwt令牌and检测令牌是否过期
grow_的博客
04-26 955
解析jwt令牌 当服务端生成 token 后发给客户端,客户端在下次向服务端发送请求时需要携带这个token (这就好像是拿着一张门票一 样),那服务端接到这个token 应该解析token中的信息(例如用户名), 根据这些信息 查询数据库返回相应的结果。 在 测试类添加一个方法 parserJwt解析jwt令牌中信息 import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebto...
用户修改了信息jwt服务器怎么识别,Spring cloud微服务安全实战-6-3JWT改造之网关和服务改造...
weixin_39526564的博客
08-12 312
网关上认证去做哪些改造在网关上用jwt解析用户信息,而不再发送校验令牌的请求了。之前的时候网关上实际上写了很多的代码包括认证,发check_token去把token请求,换成用户信息。这俩是审计日志和授权。自己写了个MeFilter获取用户的信息限流filter都删掉,Spring Security和Spring OAuth 已经把所有的都封装好了。除了限流和日志。审计、认证、授权都封装好了。用...
JWT解析安全问题
weixin_43047908的博客
06-29 1317
目录JWT简介传统的Session认证基于token的鉴权机制JWT的构成头部(header)载荷(payload)签证(signature)通过JWT 进行认证JWT安全问题 JWT简介 Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以
Android MPAndroidChart --折线图
qq_38524537的博客
02-09 4792
Android MPAndroidChart -- 折线图
Android开发中如何实现折线图的方法 (1)
热门推荐
fjnu_se的博客
07-02 1万+
Android开发过程中实现折线图的方法 一开始为了期末作业做了个计步器,也就是可以连接手机的传感器简单实现计步功能的,但是发现页面太单调,于是考虑加上每日的步数趋势图,因为通过对应日期对应步数变化这种折线方式显示给用户是比较直观的。 也是有参考好些现已有的计步器设计样式,个人觉得简洁美观的页面才是真的能让大家看得舒服。 这是两个计步器的历史记录页面,一个是峰图,一个是折线型。 而...
PHP开发的医院安全(不良)事件系统源码 医院不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
最新发布
爱笑的源码博客
05-14 972
医疗安全不容忽视! 医疗不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
地埋式可燃气体监测终端,地下燃气管网安全“哨兵”
SUNVUA1028的博客
05-10 332
在现代都市的繁华之下,一条条地下燃气管网承载着城市的生命与活力,但管网老化腐蚀,第三方施工破坏,巡检维修不到位等问题,时刻影响着燃气管网安全运行,甚至威胁人民群众的生命财产安全。在这个快速发展的时代,旭华智能埋地式激光可燃气体监测仪,就像燃气管网卫士,时刻守护燃气管网安全,守护人民生命健康和财产安全,为城市的安全发展贡献力量。除监测可燃气体浓度外,还能监测水浸、温度、压力等多种参数,高度集成一体化设计,节省空间的同时,也提升了设备的实用性和便捷性。旭华智能多年来致力于燃气物联网监测领域,自主研发的。
Java web安全jwt
09-19
Java Web安全中的JWT是一种常用的认证协议。JWT的结构包括头部、载荷和签名。头部包含加密算法和令牌类型等信息,载荷包含具体的用户数据,签名用于验证令牌的合法性。 在Java中实现JWT,可以使用Java JWT库,该库支持Java 7及以上版本。您可以在Maven等仓库中找到该库并进行安装。 使用JWT可以实现多个场景,其中包括授权和信息交换。在授权场景中,一旦用户登录,后续的每个请求都包含JWT,允许用户访问令牌允许的路由、服务和资源。在信息交换场景中,JWT可以被签名,确保发送人的真实性,并验证内容是否被篡改

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

过期的秋刀鱼-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值