Jwt_Tool - 用于验证、伪造、扫描和篡改 JWT（JSON Web 令牌）

其功能包括：

• 检查令牌的有效性

• 测试已知漏洞：

• (CVE-2015-2951) alg=none签名绕过漏洞

• （CVE-2016-10555）RS / HS256公钥不匹配漏洞

• (CVE-2018-0114)密钥注入漏洞

• (CVE-2019-20933/CVE-2020-28637)空白密码漏洞

• (CVE-2020-28042)空签名漏洞

• 扫描错误配置或已知弱点

• 模糊声明值以引发意外行为

• 测试机密/密钥文件/公共密钥/ JWKS密钥的有效性

• 通过高速字典攻击识别弱键

• 伪造新的令牌标头和有效载荷内容，并使用密钥或通过其他攻击方法创建新签名

• 时间戳篡改

• RSA 和 ECDSA 密钥生成和重建（来自 JWKS 文件）

要求

        该工具是使用通用库在Python 3（版本3.6+）中原生编写的，但是各种加密功能（以及一般的美感/可读性）确实需要安装一些通用的Python库。

安装

        安装只是下载jwt_tool.py文件（或git clonerepo）的一种情况。
（chmod如果您想将它添加到$PATH并从任何地方调用它，该文件也是如此。）

$ git clone https://github.com/ticarpi/jwt_tool$ python3 -m pip install termcolor cprint pycryptodomex requests

        首次运行时，该工具将生成一个配置文件、一些实用程序文件、日志文件以及一组各种格式的公钥和私钥。

项目地址：

https://github.com/ticarpi/jwt_tool

本文始发于微信公众号（Khan安全攻防实验室）：Jwt_Tool - 用于验证、伪造、扫描和篡改 JWT（JSON Web 令牌）