php jwt安全吗,浅谈JWT安全问题 - osc_t1bxxmjp的个人空间 - OSCHINA - 中文开源技术交流社区...

最新推荐文章于 2022-11-15 17:30:37 发布
最新推荐文章于 2022-11-15 17:30:37 发布
阅读量213 收藏
点赞数
文章标签: php jwt安全吗

eyJraWQiOiJrZXlzLzNjM2MyZWExYzNmMTEzZjY0OWRjOTM4OWRkNzFiODUxIiwidHlwIjoiSldUIiwiYWxnIjoiUlMyNTYifQ.eyJzdWIiOiJkdWJoZTEyMyJ9.XicP4pq_WIF2bAVtPmAlWIvAUad_eeBhDOQe2MXwHrE8a7930LlfQq1lFqBs0wLMhht6Z9BQXBRos9jvQ7eumEUFWFYKRZfu9POTOEE79wxNwTxGdHc5VidvrwiytkRMtGKIyhbv68duFPI68Qnzh0z0M7t5LkEDvNivfOrxdxwb7IQsAuenKzF67Z6UArbZE8odNZAA9IYaWHeh1b4OUG0OPM3saXYSG-Q1R5X_5nlWogHHYwy2kD9v4nk1BaQ5kHJIl8B3Nc77gVIIVvzI9N_klPcX5xsuw9SsUfr9d99kaKyMUSXxeiZVM-7os_dw3ttz2f-TJSNI0DYprHHLFw

1,头部

eyJraWQiOiJrZXlzLzNjM2MyZWExYzNmMTEzZjY0OWRjOTM4OWRkNzFiODUxIiwidHlwIjoiSldUIiwiYWxnIjoiUlMyNTYifQ

解码为:

{“kid”:”keys/3c3c2ea1c3f113f649dc9389dd71b851",”typ”:”JWT”,”alg”:”RS256"}

包括了typ类型,alg:签名算法

2,有效载荷

eyJzdWIiOiJkdWJoZTEyMyJ9

有效载荷用来存储用户的数据,解码之后为

{"sub":"dubhe123"}

3,签名

XicP4pq_WIF2bAVtPmAlWIvAUad_eeBhDOQe2MXwHrE8a7930LlfQq1lFqBs0wLMhht6Z9BQXBRos9jvQ7eumEUFWFYKRZfu9POTOEE79wxNwTxGdHc5VidvrwiytkRMtGKIyhbv68duFPI68Qnzh0z0M7t5LkEDvNivfOrxdxwb7IQsAuenKzF67Z6UArbZE8odNZAA9IYaWHeh1b4OUG0OPM3saXYSG-Q1R5X_5nlWogHHYwy2kD9v4nk1BaQ5kHJIl8B3Nc77gVIIVvzI9N_klPcX5xsuw9SsUfr9d99kaKyMUSXxeiZVM-7os_dw3ttz2f-TJSNI0DYprHHLFw

由于头部和有效载荷以明文形式存储,因此,需要使用签名来防止数据被篡改。

提供数据的相关函数使用的签名算法通常是RS256(RSA非对称加密和私钥签名)和HS256(HMAC SHA256对称加密)算法。

如使用HS256的加密方式为:

HMACSHA256(

base64UrlEncode(header) + "." +

base64UrlEncode(payload),

secret)

0X02 如何攻击JWT

1,敏感信息泄露

因为有效载荷是明文传输的,如果有效载荷存在敏感信息的话就会发生信息泄露

2,将签名算法改为none

使用工具: JWTPyCrack

python jwtcrack.py -m generate -s {\"admin\":\"True\"}

3,未校验签名

插入一些常见测试payload,如注入,xss等

4,爆破弱key

使用工具:JWTPyCrack ,只支持明文,有些时候可能还要考虑base64encode的情况,base64的情况,要自己编写脚本

python jwtcrack.py -m blasting -s eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.keH6T3x1z7mmhKL1T3r9sQdAxxdzB6siemGMr_6ZOwU --kf 2.txt

除此之外,我们也可以用hashcat来爆破

fa08155e12b3bc753b4a0880cdfccf64.png

爆破hahs少不了一个好的字典,而hashcat rules文件夹下其实有不少规则,我们也可以直接拿来用,生成字典:(b0b064.rule来源于Hob0Rules)

hashcat64.exe --stdout password.txt -r rules/hob064.rule -o pasword_new.txt --force

不想生成文件占磁盘,也可以直接用规则来爆破

hashcat64.exe -a 0 -m 16500 jwt_token jwt_key.txt -r rules/d3ad0ne.rule --force

当然也可以用掩码方式,爆破出来的时间取决于key的长度和GPU的性能

0x03 拓展:accessToken与refreshToken问题

风险点:

未校验access token和refresh token是否属于同一个用户,导致A用户可使用自己的refresh token去刷新B用户的access token,垂直越权

建议:

使用jwt令牌的最佳位置是服务器之间的通信。在普通的web应用程序中,最好使用普通的旧cookies。

例子:

webgoat 8 ,

使用A账号的refresh token 和 过期B的access_token去刷新 B的access_token

0x04 实战记录

1,开源程序默认key未修改

某众测厂商默认key直接伪造超级管理员进去

68f0b9049d8d8403019ced4bbf4a35c6.png

github标志,开源系统直接跟过去

bcff1f5e6a2c84645c21e83104e3b5a4.png

有默认值,虽然作者再三提醒,但鉴于人的本质惰性,相信很多管理员都是不会去修改的,直接伪造超级管理员进去

0898ce7da0b669606765dfc06f1fc92f.png

2,accessToken与refreshToken问题

某厂商可用A用户refreshToken刷新B用户的access_token

假如获取到B用户的过期access_token,那么就可以用A的refresh_token去刷新了

B用户的access_token与refresh_token

7997f358173ec50e7f4587cbe9b994b1.png

使用A用户的refresh_token去刷新B用户的access_token

116c0f64d4c4349151824f836ad37f54.png

正常B用户的请求

8934f0f80f0aebed24a9a908c2b0dc11.png

替换之后的请求,成功请求

c0a398cb1a6f7b5db11dea22a319c493.png

这里过期的access_token可以在搜索引擎搜到或者评论等信息泄漏

0x05 总结

简单列举了一下自己遇到的jwt两个案例,笔记向文章没啥好说的。

0x06 参考资料

weixin_39520979
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java-jwt-3.1.0.jar
04-28
java-jwt-3.1.0.jar
jwt-handbook-v0_14_1.mobi
03-06
The JWT Handbook Sebastián E. Peyrott, Auth0 Inc. Version 0.14.1, 2016-2018
php jwt安全吗,关于 jwt 你应该知道的事情
weixin_30026331的博客
04-02 527
什么是 jwt ?JWT 全称叫 JSON Web Token, 是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。jwt 使用场景jwt 用图广泛,例如授权、鉴权等。具体一点的话,假如我们有一个 A 用户想要邀请某用户进入自己的群组,此时 A 用户需要生成一条邀请链接,链接内容大致如下: https://host/group/{group_id}/invi...
php jwt安全吗,JWT 使用一些注意事项 | 海诺博客
weixin_42523711的博客
04-02 208
最近在折腾多端登录,面临的场景有 hybirdApp 有小程序 还有 web,目前采用的是通过定一个公共参数 token 来处理数据一致性保持会话一致性。研究 JWT 的原因目的达到了,但是 token 未做验证机制,无法确定用户情况,只要有人拿到这个 token 就可以长期使用。目前遇到了因为 session 的一个错误使用将内容清空了的情况,导致 APP 端重复要求登录,登录后仍然要求登录的现...
PHP JWT token身份安全验证
突然空闲
04-13 655
JWT 是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个token(令牌) 结构 头部:加密类型 说明:消息内容 key:一个随机码用来加密 上面三部分使用.连接起来,然后使用hs256进行加密,生成tokent 验证机制 前端:(用户名+密码) -> 登陆 服务端:校验通过生成 token (密钥,uid,过...
em php em 开源大全,记录一次开源工单系统 - osc_hjp114em的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_39633774的博客
04-10 264
功能介绍基于go语言开发的工单后台管理系统发单人发布工单,收单人处理工单。 管理员对于人员做审计和工单做审计及上传公告 开发环境go version go1.13.6 windows/amd64github.com/astaxie/beego v1.12.1github.com/dgrijalva/jwt-go v3.2.0+incompatiblegithub.com/gofrs/uuid v3...
php前端路由权限,SaaS-前端权限控制
weixin_36169116的博客
03-24 222
1 前端权限控制1.1 需求分析1.1.1 需求说明基于前后端分离的开发模式中,权限控制分为前端页面可见性权限与后端API接口可访问行权限。前端的权限控制主要围绕在菜单是否可见,以及菜单中按钮是否可见两方面展开的。1.1.2 实现思路在vue工程中,菜单可以简单的理解为vue中的路由,只需要根据登录用户的权限信息动态的加载路由列表就可以动态的构造出访问菜单。登录成功后获取用户信息,包含权限列表(菜...
开发安全Java应用程序的13条规则
黑帽子技术的博客
04-24 117
从类级语言功能到API端点授权,将Java安全性放在应用程序开发的每个阶段都放在首位 安全性是软件开发中最复杂,最广泛和...
“Missing artifact....."的解决办法
七号空间
06-26 5289
在使用Maven开发时,总会碰到一些问题,例如“Missing artifact org.apache.commons:commons-csv:jar:1.0-SNAPSHOT”,而通过该教程就可以解决。 1.查看pom文件中的配置路径是否正确。           <dependency>               <groupId>com.oracle</gro...
Java“年度加密漏洞”修复,网友:又多了坚持Java 8的理由
HollisChuang's Blog
04-25 348
文 | Travis出品 | OSC开源社区(ID:oschina2013)甲骨文于昨日推送了安全更新修复了一个漏洞,该漏洞允许攻击者伪造某些种类的 SSL 证书和握手、双因素认证信息,以及由一系列广泛使用的开放标准产生的授权凭证。这使得攻击者可以轻松地对文件和其他数据进行数字签名。该漏洞影响了 Java 15 及以上版本中对 ECDSA(椭圆曲线数字签名算法)的实现。E...
Twitter技术主管回怼马斯克:不懂技术乱评价!马斯克:He’s fired
程序猿DD
11-15 2214
出品 | OSC开源社区(ID:oschina2013)马斯克昨天锐评Twitter App 滥用 RPC后,被 Twitter 的技术主管直接怼了回去 —— 直言马斯克不懂技术,只是喜欢发表一些粗鲁无礼的评价。除了这名技术主管,一位负责 Twitter Android 客户端开发的工程师Eric Frohnhoefer 也丝毫不给老板面子,他表示自己参与 Twitter 的 Android...
nimbus-jose-jwt-4.41.1-API文档-中文版.zip
06-26
赠送jar包:nimbus-jose-jwt-4.41.1.jar; 赠送原API文档:nimbus-jose-jwt-4.41.1-javadoc.jar; 赠送源代码:nimbus-jose-jwt-4.41.1-sources.jar; 赠送Maven依赖信息文件:nimbus-jose-jwt-4.41.1.pom; 包含...
java-jwt-3.11.0.jar
03-01
java-jwt-3.11.0.jar
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
vb仓库管理系统(可执行程序+源码+ 开题报告+ 答辩稿)【VB】.zip
06-04
vb仓库管理系统(可执行程序+源码+ 开题报告+ 答辩稿)【VB】
甘胺酸市场 - 全球产业规模、份额、趋势、机会和预测,按类型、应用、地区和竞争细分,2019-2029F.docx
06-04
甘胺酸市场 - 全球产业规模、份额、趋势、机会和预测,按类型、应用、地区和竞争细分,2019-2029F
cryptography-37.0.1-cp36-abi3-win_amd64.whl
最新发布
06-04
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
SMG2336N-VB一款N-Channel沟道SOT23的MOSFET晶体管参数介绍与应用说明
06-04
SOT23;N—Channel沟道,30V;6.5A;RDS(ON)=30mΩ@VGS=10V,VGS=20V;Vth=1.2~2.2V;
java-jwt.jar
12-01
java-jwt.jar是一个用于在Java中实现JWT(JSON Web Token)认证和授权的库。JWT是一种轻量级的身份验证机制,用于在不同系统之间安全地传输信息。java-jwt.jar库提供了创建、解析和验证JWT的功能,使得在Java应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值