Jwt_Tool - 用于验证、伪造、扫描和篡改 JWT(JSON Web 令牌)

  • A+
所属分类:安全工具


Jwt_Tool - 用于验证、伪造、扫描和篡改 JWT(JSON Web 令牌)


其功能包括:

  • 检查令牌的有效性

  • 测试已知漏洞

    • (CVE-2015-2951) alg=none签名绕过漏洞

    • (CVE-2016-10555)RS / HS256公钥不匹配漏洞

    • (CVE-2018-0114)密钥注入漏洞

    • (CVE-2019-20933/CVE-2020-28637)空白密码漏洞

    • (CVE-2020-28042)空签名漏洞

  • 扫描错误配置或已知弱点

  • 模糊声明值以引发意外行为

  • 测试机密/密钥文件/公共密钥/ JWKS密钥的有效性

  • 通过高速字典攻击识别弱键

  • 伪造新的令牌标头和有效载荷内容,并使用密钥或通过其他攻击方法创建新签名

  • 时间戳篡改

  • RSA 和 ECDSA 密钥生成和重建(来自 JWKS 文件)


要求

        该工具是使用通用库Python 3(版本3.6+)中原生编写的,但是各种加密功能(以及一般的美感/可读性)确实需要安装一些通用的Python库。


安装

        安装只是下载jwt_tool.py文件(或git clonerepo)的一种情况
chmod如果您想将它添加到$PATH并从任何地方调用它,该文件也是如此。)

$ git clone https://github.com/ticarpi/jwt_tool$ python3 -m pip install termcolor cprint pycryptodomex requests


        首次运行时,该工具将生成一个配置文件、一些实用程序文件、日志文件以及一组各种格式的公钥和私钥。


项目地址:


https://github.com/ticarpi/jwt_tool

本文始发于微信公众号(Khan安全攻防实验室):Jwt_Tool - 用于验证、伪造、扫描和篡改 JWT(JSON Web 令牌)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: