jwtXploiter是一款功能强大的安全测试工具,可以帮助广大研究测试JSON Web令牌的安全性,并且能够识别所有针对JSON Web令牌的已知CVE漏洞。
jwtXploiter支持的功能如下:
篡改令牌Payload:修改声明和值;
利用已知的易受攻击的Header声明(kid、jku、x5u);
验证令牌有效性;
获取目标SSL连接的公钥,并尝试在仅使用一个选项的密钥混淆攻击中使用它;
支持所有的JWA;
生成JWK并将其插入令牌Header中;
其他丰富功能。
注意:本项目的正常运行需要使用Python3-pip来安装相关的依赖组件。
wget http://andreatedeschi.uno/jwtxploiter/jwtxploiter-1.2.1-1.noarch.rpm
sudo rpm --install jwtxploiter-1.2.1-1.noarch.rpm
(向右滑动,查看更多)
或者,如果你的设备安装了之前版本的jwtXploiter,可以直接使用下列命令更新jwtXploiter:
sudo rpm --upgrade jwtxploiter-1.2.1-1.noarch.rpm
(向右滑动,查看更多)
sudo pip install jwtxploiter
wget http://andreatedeschi.uno/jwtxploiter/jwtxploiter_1.2.1-1_all.deb
sudo dpkg -i jwtxploiter_1.2.1-1_all.deb
(向右滑动,查看更多)
git clone https://github.com/DontPanicO/jwtXploiter.git
./install.sh
(向右滑动,查看更多)
Web应用程序渗透测试人员:该工具本身就是渗透测试工具中的关键部分;
需要测试自己应用程序中JSON Web令牌安全性的开发人员;
CTF玩家;
不建议学生使用:因为这是一个自动化程度非常高的工具,而且很多底层实现都是对用户不可见的,因此该工具无法帮助你了解漏洞的具体利用细节。
jwtXploiter:https://github.com/DontPanicO/jwtXploiter
精彩推荐