官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
如何使用jwtXploiter测试JSON Web令牌的安全性
Alpha_h4ck- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
如何使用jwtXploiter测试JSON Web令牌的安全性
关于jwtXploiter
jwtXploiter是一款功能强大的安全测试工具,可以帮助广大研究测试JSON Web令牌的安全性,并且能够识别所有针对JSON Web令牌的已知CVE漏洞。
jwtXploiter支持的功能如下:
篡改令牌Payload:修改声明和值;
利用已知的易受攻击的Header声明(kid、jku、x5u);
验证令牌有效性;
获取目标SSL连接的公钥,并尝试在仅使用一个选项的密钥混淆攻击中使用它;
支持所有的JWA;
生成JWK并将其插入令牌Header中;
其他丰富功能;
工具安装
注意:本项目的正常运行需要使用Python3-pip来安装相关的依赖组件。
使用rpm安装
wget http://andreatedeschi.uno/jwtxploiter/jwtxploiter-1.2.1-1.noarch.rpm sudo rpm --install jwtxploiter-1.2.1-1.noarch.rpm
或者,如果你的设备安装了之前版本的jwtXploiter,可以直接使用下列命令更新jwtXploiter:
sudo rpm --upgrade jwtxploiter-1.2.1-1.noarch.rpm
使用pip安装
sudo pip install jwtxploiter
使用deb安装
wget http://andreatedeschi.uno/jwtxploiter/jwtxploiter_1.2.1-1_all.deb sudo dpkg -i jwtxploiter_1.2.1-1_all.deb
使用git安装
git clone https://github.com/DontPanicO/jwtXploiter.git ./install.sh
适用人员
Web应用程序渗透测试人员:该工具本身就是渗透测试工具中的关键部分;
需要测试自己应用程序中JSON Web令牌安全性的开发人员;
CTF玩家;
不建议学生使用:因为这是一个自动化程度非常高的工具,而且很多底层实现都是对用户不可见的,因此该工具无法帮助你了解漏洞的具体利用细节。
项目地址
jwtXploiter:【GitHub传送门】
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 Alpha_h4ck 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
Alpha_h4ck LV.10
好好学习,天天向上
- 2359 文章数
- 1023 关注者
Tetragon:一款基于eBPF的运行时环境安全监控工具
2025-01-21
DroneXtract:一款针对无人机的网络安全数字取证工具
2025-01-21
CNAPPgoat:一款针对云环境的安全实践靶场
2025-01-21
文章目录