jwt_tooll 一款针对JSON Web Tokens的测试工具

2019 年 7 月 9 日 黑白之道



jwt_tool.py是一个用于验证,伪造和破解JWT(JSON Web令牌)的工具包。它是一串带有声明信息的字符串,由服务端使用加密算法对信息签名,以保证其完整性和不可伪造性。Token里可以包含所有必要的信息,这样服务端就无需保存任何关于用户或会话的信息了。JWT可用于身份认证,会话状态维持以及信息交换等任务。

其功能包括:

1、检查令牌的有效性

2、测试RS / HS256公钥不匹配漏洞

3、测试alg =无签名绕过漏洞

4、测试秘密/密钥/密钥文件的有效性

5、通过高速字典攻击识别弱键

6、伪造新的令牌头和有效负载值,并使用密钥或其他攻击方法创建新签名


工具要求

本工具采用原生Python 2.x开发,使用的都是常用Python库。大家可以在字典攻击选项中配置自定义字典文件。


工具安装

大家可以直接下载代码库中的jwt_tool.py文件,或使用下列命令将代码库克隆至本地:

git clone https://github.com/ticarpi/jwt_tool.git

工具使用$python jwt_tool.py <JWT> (filename)

第一个参数就是JWT本身,后面需要跟一个文件名或文件路径。注意:目前使用HS256,HS384,HS512算法支持签名令牌


使用提示

大家还可以在Burp Search中使用正则表达式来寻找JWT(请确保开启了“大小写敏感“和“正则表达式”选项):


[=]ey[A-Za-z0-9_-]*\.[A-Za-z0-9._-]* - url-safe JWT version

[=]ey[A-Za-z0-9_\/ -]*\.[A-Za-z0-9._\/ -]* - all JWT versions


文章来源及下载:

https://github.com/ticarpi/jwt_tool

你可能喜欢

Pythem – Python网络/渗透测试工具

Windows渗透测试工具:RedSnarf

ss7MAPer:一个SS7 渗透测试工具集

登录查看更多
6

相关内容

【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
193+阅读 · 2020年6月29日
【干货书】用于概率、统计和机器学习的Python,288页pdf
专知会员服务
287+阅读 · 2020年6月3日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【经典书】Python数据数据分析第二版,541页pdf
专知会员服务
192+阅读 · 2020年3月12日
算法与数据结构Python,369页pdf
专知会员服务
161+阅读 · 2020年3月4日
【书籍推荐】简洁的Python编程(Clean Python),附274页pdf
专知会员服务
180+阅读 · 2020年1月1日
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
专知会员服务
29+阅读 · 2019年10月17日
ISeeYou一款强大的社工工具
黑白之道
30+阅读 · 2019年5月17日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
Pupy – 全平台远程控制工具
黑白之道
43+阅读 · 2019年4月26日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
34个最优秀好用的Python开源框架
专知
9+阅读 · 2019年3月1日
如何编写完美的 Python 命令行程序?
CSDN
5+阅读 · 2019年1月19日
Arxiv
35+阅读 · 2019年11月7日
Arxiv
6+阅读 · 2018年11月1日
Knowledge Based Machine Reading Comprehension
Arxiv
4+阅读 · 2018年9月12日
VIP会员
相关VIP内容
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
193+阅读 · 2020年6月29日
【干货书】用于概率、统计和机器学习的Python,288页pdf
专知会员服务
287+阅读 · 2020年6月3日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【经典书】Python数据数据分析第二版,541页pdf
专知会员服务
192+阅读 · 2020年3月12日
算法与数据结构Python,369页pdf
专知会员服务
161+阅读 · 2020年3月4日
【书籍推荐】简洁的Python编程(Clean Python),附274页pdf
专知会员服务
180+阅读 · 2020年1月1日
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
专知会员服务
29+阅读 · 2019年10月17日
相关资讯
ISeeYou一款强大的社工工具
黑白之道
30+阅读 · 2019年5月17日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
Pupy – 全平台远程控制工具
黑白之道
43+阅读 · 2019年4月26日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
34个最优秀好用的Python开源框架
专知
9+阅读 · 2019年3月1日
如何编写完美的 Python 命令行程序?
CSDN
5+阅读 · 2019年1月19日
Top
微信扫码咨询专知VIP会员