freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

stthjpv:一款针对JWT Payload的安全保护工具
  • 关注
stthjpv:一款针对JWT Payload的安全保护工具
2024-06-25 09:24:22

关于stthjpv

stthjpv是一款针对JWT Payload的安全保护工具,这款工具集多种技术和思想于一身,可以通过不断改变相关参数值来防止Payload被解码,以帮助广大研究人员更好地保护JWT Payload的安全性。

除此之外,该工具还能够确保JWT Payload在被解码之后,输出保持一种难以阅读和理解的状态。值得一提的是,该工具的运行速度非常快,具备高性能和开销小的特点。

JWT令牌是什么?

JSON Web令牌(JWT)是一种在通信双方之间传递JSON消息的URL安全方法,这种方式数据量少,且足够安全。与此同时,它也是一种定义在RFC 7519中的标准规范。JWT是一个长字符串,由点分隔成多个部分,每个部分都是Base64 URL编码。

令牌中的数据由哪些部分,取决于JWT的类型(无论是JWS还是JWE)。如果对令牌进行了签名,它将会由三个部分组成:Header、Payload和签名。如果令牌经过了加密处理,那么它将由五个部分组成:Header、加密密钥、初始化向量、密文(Payload)和身份验证标识。JWT最常用的场景,就是作为OAuth和OpenID Connect流中的访问令牌和ID令牌使用,但它们也可以用于不同的目的。

工具特性

该工具旨在增强解码JWT令牌时Payload部分的安全性。一般来说,当我们对JWT令牌(Base64)进行解码时,Payload部分是以明文形式出现的,该工具可以对Payload值进行加密或混淆,以增加他人在解码或分析Payload时的难度。

工具依赖

PyJWT

工具安装

由于该工具基于Python 3.11开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/password123456/some-tweak-to-hide-jwt-payload-values.git

然后切换到项目目录中,使用pip命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:

cd some-tweak-to-hide-jwt-payload-values

pip3 install -r requirements

工具使用

# python3 main.py

 

- Current Unix Timestamp: 1709160368

- Current Unix Timestamp to Human Readable: 2024-02-29 07:46:08

 

- userid: 23243232

- XOR Symmetric key: b'generally_user_salt_or_hash_or_random_uuid_this_value_must_be_in_dbms'

- JWT Secret key: yes_your_service_jwt_secret_key

 

- Encoded UserID and Timestamp: VVZcUUFTX14FOkdEUUFpEVZfTWwKEGkLUxUKawtHOkAAW1RXDGYWQAo=

- Decoded UserID and Hashed Timestamp: 23243232|e27436b7393eb6c2fb4d5e2a508a9c5c

 

- JWT Token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0aW1lc3RhbXAiOiIyMDI0LTAyLTI5IDA3OjQ2OjA4IiwidXNlcmlkIjoiVlZaY1VVRlRYMTRGT2tkRVVVRnBFVlpmVFd3S0VHa0xVeFVLYXd0SE9rQUFXMVJYREdZV1FBbz0ifQ.bM_6cBZHdXhMZjyefr6YO5n5X51SzXjyBUEzFiBaZ7Q

- Decoded JWT: {'timestamp': '2024-02-29 07:46:08', 'userid': 'VVZcUUFTX14FOkdEUUFpEVZfTWwKEGkLUxUKawtHOkAAW1RXDGYWQAo='}

 

 

# run again

- Decoded JWT: {'timestamp': '2024-02-29 08:16:36', 'userid': 'VVZcUUFTX14FaRNAVBRpRQcORmtWRGleVUtRZlYXaBZZCgYOWGlDR10='}

- Decoded JWT: {'timestamp': '2024-02-29 08:16:51', 'userid': 'VVZcUUFTX14FZxMRVUdnEgJZEmxfRztRVUBabAsRZkdVVlJWWztGQVA='}

- Decoded JWT: {'timestamp': '2024-02-29 08:17:01', 'userid': 'VVZcUUFTX14FbxYQUkM8RVRZEmkLRWsNUBYNb1sQPREFDFYKDmYRQV4='}

- Decoded JWT: {'timestamp': '2024-02-29 08:17:09', 'userid': 'VVZcUUFTX14FbUNEVEVqEFlaTGoKQjxZBRULOlpGPUtSClALWD5GRAs='}

工具运行截图

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

stthjpv:【GitHub传送门

# payload # 加密 # 混淆 # JWT # Json Web Token
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
JWT 原理与漏洞深度解析及攻防实战 原创
付费
JWT 原理与漏洞深度解析及攻防实战

Web安全

JWT虽然是一种广泛使用的身份验证方式,但也可能存在安全漏洞。

LYL

134014围观  · 5收藏 2025-03-04

Shellcode加密混淆技术全解析
Shellcode加密混淆技术全解析

终端安全

Shellcode加密混淆的核心目标是通过加密算法和代码变形技术,使原始恶意代码无法被静态特征扫描识别。

LYL

89066围观  · 3收藏  · 8喜欢 2025-02-18

黑客海报不简单!信息隐写藏里面,9轮解密至终点!
黑客海报不简单!信息隐写藏里面,9轮解密至终点!

活动

万万没想到,竟要9轮解密!

虫一卜

143200围观  · 4收藏  · 8喜欢 2025-01-02

EmbedPayloadInPng:一款图片文件Payload嵌入工具
EmbedPayloadInPng:一款图片文件Payload嵌入工具

工具

EmbedPayloadInPng是一款功能强大的Payload嵌入工具,该工具能够将Payload拆分为多个IDAT部分,并将Payloa...

Alpha_h4ck

106074围观  · 6收藏  · 25喜欢 2024-11-21

Discord 推出端到端音频、视频加密通话功能
Discord 推出端到端音频、视频加密通话功能

资讯

用户将能够确认通话何时进行了端到端加密,并对这些通话中的其他成员进行验证。

小薯条

91946围观  · 2收藏  · 8喜欢 2024-09-19

  • 0 文章数
  • 0 关注者
文章目录
关于stthjpv
    JWT令牌是什么?
      工具特性
        工具依赖
          工具安装
            工具使用
              工具运行截图
                许可证协议
                  项目地址