关于JWT的一些攻击方法

r囧r小猫 2023-01-16 02:50 77阅读 0赞

前几天做了一个登录页面的绕过，由于认证返回的token是JWT的格式，于是花了一些时间看了看有关于JWT的东西。

\#关于JWT

**JWT的全称为Json Web Token。它遵循JOSN格式，与传统的cookie+session的认证方式不同，服务器使用它的好处是只需要保存秘钥信息，通过加密算法验证token即可，减小了保存用户信息的资源开销。** **jwt可以分成三部分，header.payload.signature**

**\#\# header部分**

**通常它会长成这个样子**

{
        "alg": "HS256",
        "typ": "JWT"
    }

其中alg字段指定了token加密的算法，常见的有HMAC算法、RSA算法。

typ声明类型。

**\#\# payload部分**

**通常会长成这样子**

{
        "sub": "1234567890",
        "name": "John Doe",
        "iat": 1516239022
    }

会有很多类似的字段，比如用户名，签发时间(iat),过期时间(exp)类似的信息。

**\#\# signature部分**

**这部分主要是用来保证token的完整性。** **他的组成也不难，比如这样：signature=HMAC-SHA256(base64UrlEncode(header)+'.'+base64UrlEncode(payload),secret\_key)完成的token生成可以使用python的pyjwt库来完成，如果你要修改jwt的一部分内容可以考虑使用https://jwt.io/**

**\# 攻击手法** **\#\# 针对加密方式**

**首先可以试试，修改alg字段为None即可，类似这样**

{
        "alg": "None",
        "typ": "JWT"
    }

**那么相应的，你JWT的第三部分也就不需要了，顺便一提，如果对方加入了对None字段的过滤的话，有时替换大小写可以绕过** **第二种方法把RSA加密修改为HMAC也不错，因为它是对称加密的，所以在部分情况下好使。** **比如：将第一个字段修改成这样**

{
        "alg": "HS256",
        "typ": "jwt"
    }

一般情况下都是密钥签名，公钥用来验证。虽然无法获取到密钥，但是公钥往往是有办法获取到。此时便可以把加密方式修改为HS256,然后把共要哦用来签名发给服务器，然后服务器就会那私钥进行解密。

**\#\# 爆破秘钥**

**爆破可以使用github上的工具c-jwt-cracker来完成，但是局限性很大。** **首先秘钥不能太复杂，其次还需要一段已知的签过名的token。** **基本打比赛偶尔能遇到，实战歇菜。**

**\#\# 修改kid**

**kid(key ID)是JWT的header部分的可选参数，作用是用来指定加密算法秘钥。** **大概长这个样子**

{
        "alg": "HS256",
        "typ": "jwt",
        "kid": "/home/jwt/.ssh/1.pem"
    }

**由于这部分可以用户输入，在极少数情况下也会有用。** **比如说，掌握了某一个老秘钥，但是服务器会定期更新秘钥，如果老秘钥没有删除，就可以在这里指定加密秘钥为老秘钥。**

**再比如说，如果过滤不严，一些注入之类的骚操作，但是局限性很大。**

**\#\# 信息泄露**

**因为jwt简单来说就是base64encode了一段json，所以一些JWT令牌的中间部分会有一些敏感信息。**

发表评论取消回复

表情：

评论列表（有 0 条评论，77人围观）

还没有评论，来说两句吧...

相关阅读

相关关于Kerberos认证的一些攻击手法学习总结

Kerberos认证流程前言本文主要分享最近学习的关于域内Kerberos认证的一些攻击手法，以自我的理解为主，从原理理解切入到基本工具利用来阐述，个人的理解分

清疚/ 2024年03月22日 14:40/ 0 赞/ 5 阅读

相关关于JWT的一些攻击方法

前几天做了一个登录页面的绕过，由于认证返回的token是JWT的格式，于是花了一些时间看了看有关于JWT的东西。 \关于JWT JWT的全称为Json Web Token。

r囧r小猫/ 2023年01月16日 02:50/ 0 赞/ 78 阅读

相关关于JavaScript的一些方法

今天用了大半天的时间，刷完了fcc中文社区上的js基础算法题，重新再刷这些题目的时候发现，有些函数方法还是掌握不够。就今天的学习记录一下。 1. map()方法

蔚落/ 2022年06月10日 00:54/ 0 赞/ 190 阅读

相关关于jwt的思考

[http://blog.csdn.net/gengxuelei/article/details/73649732][http_blog.csdn.net_gengxuelei

小鱼儿/ 2022年05月30日 10:15/ 0 赞/ 203 阅读

相关注入攻击的一些相关

注入攻击【本质】把用户输入的数据当代码执行（应用违背了数据与代码分离原则）【条件】（1）用户能够控制输出（2）原本程序要执行的代码，拼接了（“拼接”过程导致代码的注入

妖狐艹你老母/ 2022年05月28日 02:39/ 0 赞/ 136 阅读

相关对jwt token的一些思考

对jwt token的一些思考 jwt(JSON Web Token)是指一种可以用于解决跨域取值的方法。 jwt token的组成, header + payload

我不是女神ヾ/ 2022年05月25日 01:30/ 0 赞/ 141 阅读

相关关于字符串得一些方法总结

在初学JS得时候关于数据类型中得字符串一些方法还是比较杂乱的，也比较多，现将一些方法整理一下，以后也可以翻出来经常看看： 1、字符串 1）所有带单引号和双引号的叫字符串

小鱼儿/ 2022年03月20日 07:54/ 0 赞/ 193 阅读

相关 java关于hashCode()方法的一些理解

java关于hashCode()方法的一些理解 1. 它是Object 类中的native方法。如果对象中不去实现自己的hashCode（）方法，那么就使用虚拟机提供的

今天药忘吃喽~/ 2022年02月23日 15:34/ 0 赞/ 227 阅读

相关关于时间操作的一些方法

1.判断时间是否在当前时间七天内 / 判断时间是否在当前时间七天内 / public boolean isLatestWeek(D

旧城等待，/ 2022年02月21日 00:03/ 0 赞/ 331 阅读

相关关于easyUI的一些js方法

1. $("\dg").datagrid("load",\{ "userName":$("\s\_userName").val() \}); 数据表的load方法，

梦里梦外;/ 2022年01月06日 11:23/ 0 赞/ 344 阅读