如何使用jwtXploiter测试JSON Web令牌的安全性
2022-8-29 15:20:7 Author: www.freebuf.com(查看原文) 阅读量:20 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

关于jwtXploiter

jwtXploiter是一款功能强大的安全测试工具,可以帮助广大研究测试JSON Web令牌的安全性,并且能够识别所有针对JSON Web令牌的已知CVE漏洞。

jwtXploiter支持的功能如下:

篡改令牌Payload:修改声明和值;

利用已知的易受攻击的Header声明(kid、jku、x5u);

验证令牌有效性;

获取目标SSL连接的公钥,并尝试在仅使用一个选项的密钥混淆攻击中使用它;

支持所有的JWA;

生成JWK并将其插入令牌Header中;

其他丰富功能;

工具安装

注意:本项目的正常运行需要使用Python3-pip来安装相关的依赖组件。

使用rpm安装

wget http://andreatedeschi.uno/jwtxploiter/jwtxploiter-1.2.1-1.noarch.rpm

sudo rpm --install jwtxploiter-1.2.1-1.noarch.rpm

或者,如果你的设备安装了之前版本的jwtXploiter,可以直接使用下列命令更新jwtXploiter:

sudo rpm --upgrade jwtxploiter-1.2.1-1.noarch.rpm

使用pip安装

sudo pip install jwtxploiter

使用deb安装

wget http://andreatedeschi.uno/jwtxploiter/jwtxploiter_1.2.1-1_all.deb

sudo dpkg -i jwtxploiter_1.2.1-1_all.deb

使用git安装

git clone https://github.com/DontPanicO/jwtXploiter.git

./install.sh

适用人员

Web应用程序渗透测试人员:该工具本身就是渗透测试工具中的关键部分;

需要测试自己应用程序中JSON Web令牌安全性的开发人员;

CTF玩家;

不建议学生使用:因为这是一个自动化程度非常高的工具,而且很多底层实现都是对用户不可见的,因此该工具无法帮助你了解漏洞的具体利用细节。

项目地址

jwtXploiter:GitHub传送门


文章来源: https://www.freebuf.com/articles/web/288278.html
如有侵权请联系:admin#unsafe.sh