JWT Tool:针对 JSON Web Tokens 的测试工具

最新推荐文章于 2024-05-16 22:39:35 发布
最新推荐文章于 2024-05-16 22:39:35 发布
阅读量1.9k 收藏 4
点赞数

众望所归,大家期待已久的JWT渗透测试工具终于出炉啦!没错,今天给大家介绍的这款名叫JWT Tool的工具,就可以针对JSON Web Tokens进行渗透测试。

aaaaaaaaaaaaaaaaaaa.jpg

什么是JWT?

JWT是JSON Web Token的缩写,它是一串带有声明信息的字符串,由服务端使用加密算法对信息签名,以保证其完整性和不可伪造性。Token里可以包含所有必要的信息,这样服务端就无需保存任何关于用户或会话的信息了。JWT可用于身份认证,会话状态维持以及信息交换等任务。

JWT由三部分构成,分别称为header,payload和signature,各部分用“.”相连构成一个完整的Token,形如xxxxx.yyyyy.zzzzz。

Header

使用一个JSON格式字符串声明令牌的类型和签名用的算法等,形如{“alg”:”HS256″, “typ”: “JWT”}。该字符串经过Base64Url编码后形成JWT的第一部分xxxxx。

Base64Url编码可以用这段代码直观理解: PHP大马

 

 

from base64 import *

def base64URLen(s):

    t0=b64encode(s)

   t1=t0.strip('=').replace('+','-').replace('/','_')

    return t1

def base64URLde(s):

    t0=s.replace('-','+').replace('_','/')

    t1=t0+'='*(4-len(t0)%4)%4

    return b64decode(t1)

 

Payload

使用一个JSON格式字符串描述所要声明的信息,分为registered,public,状语从句:private三类,形如{“name”: “John Doe”, “admin”: true},具体信息可参考RFC7519的JWT要求部分。

同样的,该字符串经过Base64Url编码形成JWT的第二部分yyyyy。

Signature

将xxxxx.yyyyy使用alg指定的算法加密,然后再Base64Url编码得到JWT的第三部分zzzzz。所支持的算法类型取决于实现,但HS256和none是强制要求实现的。

JWT Tool

简而言之,Jwt_tool.py这个工具及可以用来验证、伪造和破解JWT令牌。奇热影视

其功能包括:

1、 检测令牌的有效性;

2、 测试RS/HS256公钥错误匹配漏洞;

3、 测试alg=None签名绕过漏洞;

4、 测试密钥/密钥文件的有效性;

5、 通过高速字典攻击识别弱密钥;

6、 伪造新的令牌Header和Payload值,并使用密钥创建新的签名;

适用范围

该工具专为渗透测试人员设计,可用于检测令牌的安全等级,并检测可能的攻击向量。当然了,广大研究人员也可以用它来对自己使用了JWT的项目进行安全测评以及稳定性测评。

工具要求

本工具采用原生Python 2.x开发,使用的都是常用Python库。大家可以在字典攻击选项中配置自定义字典文件。

工具安装

大家可以直接下载代码库中的jwt_tool.py文件,或使用下列命令将代码库克隆至本地:

git clone https://github.com/ticarpi/jwt_tool.git

工具使用

$python jwt_tool.py <JWT> (filename)

第一个参数就是JWT本身,后面需要跟一个文件名或文件路径。

样例:

$python jwt_tool.pyeyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJsb2dpbiI6InRpY2FycGkifQ.aqNCvShlNT9jBFTPBpHDbt2gBB1MyHiisSDdp8SQvgw/usr/share/wordlists/rockyou.txt

本工具将会验证令牌的有效性,并输出Header和Payload的值。接下来,它会给用户提供可用的菜单选项。输入值可以为标准JWT格式或url-safe模式的JWT格式。

使用提示

大家还可以在Burp Search中使用正则表达式来寻找JWT(请确保开启了“大小写敏感“和“正则表达式”选项):

 

 

[=]ey[A-Za-z0-9_-]*\.[A-Za-z0-9._-]* - url-safe JWT version

[=]ey[A-Za-z0-9_\/+-]*\.[A-Za-z0-9._\/+-]* - all JWT versions

 

项目地址

JWT Tool:【GitHub传送门

参考资料

1、 https://jwt.io/introduction/

2、 https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/

3、 https://www.ticarpi.com/introducing-jwt-tool/

4、 https://pentesterlab.com/exercises/jwt

5、 https://pentesterlab.com/exercises/jwt_ii

6、 https://pentesterlab.com/exercises/jwt_iii

systemino
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
黑客攻击常用的一款热门工具,Jwt_Tool - 用于验证、伪造、扫描和篡改 JWTJSON Web 令牌)
代码讲故事
12-15 1504
黑客攻击常用的一款热门工具,Jwt_Tool - 用于验证、伪造、扫描和篡改 JWTJSON Web 令牌)。
jwt_tool:用于测试,调整和破解JSON Web令牌的工具包
04-29
JSON Web令牌工具包v2 jwt_tool.py是用于验证,伪造,扫描和篡改JWTJSON Web令牌)的工具包。 其功能包括: 检查令牌的有效性 测试已知漏洞: (CVE-2015-2951) alg = none签名绕过漏洞 (CVE-2016-10555) RS / HS256公钥不匹配漏洞 (CVE-2018-0114)密钥注入漏洞 (CVE-2019-20933 / CVE-2020-28637)空白密码漏洞 (CVE-2020-28042)空签名漏洞 扫描配置错误或已知漏洞 模糊声明值以引发意外行为 测试机密/密钥文件/公共密钥/ JWKS密钥的有效性 通过高速字典攻击识别弱键 伪造新的令牌头和有效载荷内容,并使用密钥或通过其他攻击方法创建新的签名 时间戳篡改 RSA和ECDSA密钥生成和重建(来自JWKS文件) ...还有更多! 观众 该工具是为渗透测试人员
JWT渗透测试(非常详细)从零基础入门到精通,看完这一篇就够了_看雪jwt测试
最新发布
2401_84264374的博客
05-16 551
对称密钥:对称密钥是一种使用相同的密钥进行加密和解密的加密算法,在JWT中使用对称密钥来生成和验证签名,因此密钥必须保密,只有发送方和接收方知道,由于对称密钥的安全性取决于密钥的保密性,因此需要采取一些措施来保护它非对称密钥:非对称密钥使用公钥和私钥来加密和解密数据,在JWT中使用私钥生成签名,而使用公钥验证签名,由于公钥可以公开,因此非对称密钥通常用于验证方的身份// 设置密钥// 生成JWT// 验证JWT// 设置JWT过期时间为1小时// 1小时。
JWT Tool: 解析与生成JWT的强大工具
gitblog_00070的博客
03-21 841
JWT Tool: 解析与生成JWT的强大工具 项目地址:https://gitcode.com/ticarpi/jwt_tool JWT Tool 是一个简洁而强大的在线工具,专门用于JSON Web TokenJWT)的解析和生成。对于开发人员来说,它是一个极其有用的资源,可以帮助理解、测试和调试JWT在身份验证和授权过程中的工作原理。 技术分析 JWT Tool 使用Web技术构建,包括H...
JWT攻击手册(附jwt_tool用法,爆破弱密钥等)
weixin_50464560的博客
10-01 1万+
转载至https://www.cnblogs.com/xiaozi/p/12005929.html JSON Web TokenJWT)对于渗透测试人员而言可能是一种非常吸引人的攻击途径,因为它们不仅是让你获得无限访问权限的关键,而且还被视为隐藏了通往以下特权的途径:特权升级,信息泄露,SQLi,XSS,SSRF,RCE,LFI等 ,可能还有更多!攻击令牌的过程显然取决于您正在测试的JWT配置和实现的情况,但是在测试JWT时,通过对目标服务的Web请求中使用的Token进行读取,篡改和签名,可能遇到已知的
jwt 工具
03-16 128
https://www.box3.cn/tools/jwt.html
jwt-java:JSON Web Tokens的简单java实现
06-18
jwt-java JSON Web Tokens的简单java实现
user-authentication-with-jwt:使用 JSON Web Tokens 对用户执行注册、登录、身份验证和授权的快速 API
05-29
用户身份验证与 jwt 使用 JSON Web Tokens 对用户执行注册、登录、身份验证和授权的快速 API设置使用“npm install”安装节点模块在主目录上创建一个.env文件,然后添加以下环境变量:SECRET_KEY,DB,NODE_ENV 使用...
jwtXploiter:测试JSON Web令牌安全性的工具
03-20
一种测试JSON Web令牌安全性的工具。针对所有已知的CVE测试JWT; 篡改令牌有效载荷:更改声明和子声明的值。 利用已知的易受攻击的标头声明(kid,jku,x5u) 验证令牌 检索目标的ssl连接的公钥,并尝试仅使用一个...
JSON Web Tokens的实现原理
09-21
本文主要介绍了JSON Web Tokens的实现原理。具有很好的参考价值,下面跟着小编一起来看下吧
jwt_tool-master.zip
07-13
可以针对JSON Web Tokens进行渗透测试:$python jwt_tool.py (filename)
jwt 私钥_基于JWTtoken弱密钥爆破
weixin_39629679的博客
12-21 7362
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。直接根据token取出保存的用户信息,以及对token可用性校验,大大简化单点登录。JWT=header+payload+signature(以.相隔)例:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzYxMTk2NTYsInVzZXJuYW1lIjoiemRqIiwi...
JWT工具类
热门推荐
houkai的博客
03-30 2万+
1.JWT 加密/解密工具类实现 import com.google.gson.Gson; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import jav...
工具:JWT的简单使用
weixin_49185060的博客
11-14 194
JWTJSON Web TokenJWT就是一个字符串,经过加密处理与校验处理的字符串,形式为:A.B.C 格式 A由JWT头部信息header加密得到 B由JWT用到的身份验证信息json数据加密得到 C由A和B加密得到,是校验部分 流程 Demo 依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId>
JWT(JSON WEB Token)
Andy Tools
07-23 906
今天尝试把用户权限注册部分托管到AWS服务上,而发现相关的服务是AWS cognito。 同样是基于oauth2的授权模式,但里面返回不是我们原来使用的那种token,而是另一种JWT(JSON WEB Token)。这里只介绍JWT,具体实现后面在用一篇文章进行介绍。 1 什么是JSON Web Token 2 JSON Web Token 用途 3 JSON Web Token结构 3...
JWT操作工具类分享
Gblfy_Blog
05-24 473
分享个人操作的JWT的工具类,基于jjwt库,这是Java圈子中最流行的JWT操作库。 jjwt GIthub:https://github.com/jwtk/jjwt 加依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.1</version> &l
JWT渗透
BRMTSW的博客
03-01 616
JWT渗透
JWT工具类的使用
m0_61168491的博客
06-26 303
这些claim跟JWT标准规定的claim区别在于:JWT规定的claim,JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证(还不知道是否能够验证);由于JWT是无状态的,因此在认证过程中需要将所有的信息都包含在JWT中,这就使得JWT变得较为臃肿。JWT工具类实现了签名的生成和验证过程,通过指定签名算法和密钥可以有效地避免信息在传输过程中被篡改的风险,保证了信息传输的安全性。JWT工具类封装了JWT的生成和解析过程,使得使用者可以不必了解JWT的细节就可以轻松实现JWT功能。
JWT攻击手册
Forget_liu的博客
04-08 623
JSON Web TokenJWT)是一个开放标准(RFC 7519),用于在双方之间安全地表示声明。JWT是一种无状态的认证机制,通常用于授权和信息交换。JSON Web 令牌结构JSON Web令牌以紧凑的形式由三部分组成,这些部分由点(头部(Header)有效载荷(Payload)签名(Signature)因此,JT通常如下所示。头部(Header)头部用于描述关于该JWT的最基本的信息,通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法。
JSON Web Tokens在前端的应用
07-12
JSON Web Tokens (JWTs)在前端的应用非常广泛。JWT是一种轻量级的安全传输机制,用于在不同系统之间安全地传输信息。它是一种基于JSON的开放标准(RFC 7519),用于在各个实体之间以可靠和安全的方式传输信息。 在前端应用中,JWTs通常用于身份验证和授权。以下是JWT在前端应用中的常见应用方式: 1. 用户身份验证:当用户登录时,服务器会生成一个包含用户信息和其他相关数据的JWT,并将其返回给客户端。客户端可以将JWT存储在本地(通常使用浏览器的本地存储,如localStorage或sessionStorage),并在后续请求中将其作为身份验证凭证发送给服务器。服务器可以验证JWT的签名,并从中提取用户信息,以确认用户的身份。 2. 跨域身份验证:当前端应用需要与多个不同域的后端服务进行交互时,可以使用JWT作为跨域身份验证解决方案。客户端在登录后获取JWT,并将其发送到其他后端服务作为身份验证凭证。后端服务可以验证JWT的签名并提取其中的信息,以确认用户的身份。 3. 授权和权限管理:JWT可以包含有关用户角色和权限的信息。在前端应用中,可以使用JWT来控制用户对不同功能和资源的访问权限。前端应用可以解析JWT并根据其中的角色和权限信息来决定显示哪些功能或资源。 4. 单点登录(Single Sign-On,SSO):JWT也可以用于实现单点登录功能。当用户在一个应用中登录后,该应用会生成一个JWT,并将其发送给身份提供者(如身份验证服务器)。其他需要用户身份验证的应用可以通过验证JWT来确认用户的身份,而无需用户再次登录。 总结起来,JWT在前端应用中可以用于用户身份验证、授权和权限管理,以及实现跨域身份验证和单点登录等功能。使用JWT可以减少服务器端的状态管理,提高系统的可扩展性和性能。然而,在使用JWT时需要注意安全性,例如使用HTTPS来传输JWT,避免将敏感信息存储在JWT中,并定期更新JWT的密钥等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值