JSON Web Tokens (JWT) 新型攻击方式研究<\/h1>

1. JWT 基础回顾<\/h2>

JSON Web Tokens (JWT) 是一种开放标准 (RFC 7519)，用于在各方之间安全地传输信息作为 JSON 对象。JWT 通常由三部分组成：<\/p>

Header<\/strong>：包含令牌类型和签名算法<\/li>
Payload<\/strong>：包含声明（claims）<\/li>

Signature<\/strong>：用于验证令牌的完整性<\/li> <\/ol>
典型格式：header.payload.signature<\/code><\/p>
2. 三种新型JWT攻击方式<\/h2> 2.1 基于算法混淆的攻击 (Algorithm Confusion Attack)<\/h3> 原理<\/h4> 当服务器使用非对称算法（如RS256）验证JWT，但允许客户端指定算法时<\/li> 攻击者可将算法改为对称算法（如HS256），并使用公钥作为密钥<\/li> <\/ul> 攻击步骤<\/h4> 获取服务器的公钥<\/li> 修改JWT头部，将算法改为HS256<\/li> 使用公钥作为HS256的密钥重新签名<\/li> 发送修改后的令牌到服务器<\/li> <\/ol> 防御措施<\/h4> 严格限制可接受的签名算法<\/li> 不依赖客户端提供的算法声明<\/li> 对HS256使用强密钥<\/li> <\/ul> 2.2 基于密钥注入的攻击 (Key Injection Attack)<\/h3> 原理<\/h4> 某些JWT库在验证签名时，会从令牌中提取密钥<\/li> 攻击者可注入自己的公钥\/密钥对<\/li> <\/ul> 攻击步骤<\/h4> 生成自己的RSA密钥对<\/li> 在JWT头部添加公钥（如jwk<\/code>或x5c<\/code>参数）<\/li> 使用私钥签名令牌<\/li> 服务器验证时会使用攻击者提供的公钥<\/li> <\/ol> 防御措施<\/h4> 禁用从令牌中提取密钥的功能<\/li> 使用固定的密钥列表<\/li> 检查密钥来源是否可信<\/li> <\/ul> 2.3 基于无效曲线的攻击 (Invalid Curve Attack)<\/h3> 原理<\/h4> 针对使用ECDSA算法的JWT<\/li> ECDSA实现中可能未正确验证公钥是否在预期曲线上<\/li> 攻击者可构造特殊公钥使签名验证通过<\/li> <\/ul> 攻击步骤<\/h4> 选择一个小阶子群<\/li> 计算该子群上的离散对数<\/li> 构造无效曲线上的公钥<\/li> 伪造签名使验证通过<\/li> <\/ol> 防御措施<\/h4> 实现完整的公钥验证<\/li> 检查公钥是否在预期曲线上<\/li> 使用标准化的曲线参数<\/li> <\/ul> 3. 攻击复现与验证<\/h2> 实验环境搭建<\/h3> 使用易受攻击的JWT库（如旧版python-jose）<\/li> 配置服务器接受多种算法<\/li> 启用从令牌提取密钥的功能<\/li> <\/ul> 算法混淆攻击复现<\/h3> import<\/span> jwt <\/span><\/span>from<\/span> jwt.algorithms import<\/span> RSAAlgorithm <\/span><\/span> <\/span><\/span># 获取服务器公钥<\/span> <\/span><\/span>public_key =<\/span> """-----BEGIN PUBLIC KEY----- <\/span><\/span><\/span>MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu1SU1LfVLPHCozMxH2Mo <\/span><\/span><\/span>... <\/span><\/span><\/span>-----END PUBLIC KEY-----"""<\/span> <\/span><\/span> <\/span><\/span># 构造恶意令牌<\/span> <\/span><\/span>malicious_token =<\/span> jwt.<\/span>encode( <\/span><\/span> {"user"<\/span>: "admin"<\/span>}, <\/span><\/span> key=<\/span>public_key, <\/span><\/span> algorithm=<\/span>"HS256"<\/span> <\/span><\/span>) <\/span><\/span> <\/span><\/span># 发送到易受攻击的服务器<\/span> <\/span><\/span><\/code><\/pre>密钥注入攻击复现<\/h3> import<\/span> jwt <\/span><\/span>from<\/span> cryptography.hazmat.primitives.asymmetric import<\/span> rsa <\/span><\/span> <\/span><\/span># 生成攻击者密钥对<\/span> <\/span><\/span>private_key =<\/span> rsa.<\/span>generate_private_key(public_exponent=<\/span>65537<\/span>, key_size=<\/span>2048<\/span>) <\/span><\/span>public_key =<\/span> private_key.<\/span>public_key() <\/span><\/span> <\/span><\/span># 构造恶意令牌<\/span> <\/span><\/span>malicious_token =<\/span> jwt.<\/span>encode( <\/span><\/span> {"user"<\/span>: "admin"<\/span>}, <\/span><\/span> key=<\/span>private_key, <\/span><\/span> algorithm=<\/span>"RS256"<\/span>, <\/span><\/span> headers=<\/span>{"jwk"<\/span>: public_key} <\/span><\/span>) <\/span><\/span> <\/span><\/span># 发送到易受攻击的服务器<\/span> <\/span><\/span><\/code><\/pre>4. 防御建议<\/h2> 通用防御策略<\/h3> 算法白名单<\/strong>：只允许特定的签名算法<\/li> 密钥管理<\/strong>：不使用客户端提供的密钥<\/li> 固定验证密钥<\/li> <\/ul> <\/li> 库选择<\/strong>：使用维护良好的JWT库<\/li> 定期更新库版本<\/li> <\/ul> <\/li> 验证完整性<\/strong>：检查公钥是否在预期曲线上（对ECDSA）<\/li> 验证密钥来源<\/li> <\/ul> <\/li> <\/ol> 具体配置示例<\/h3> 禁用危险配置：<\/p> # 使用PyJWT的安全配置<\/span> <\/span><\/span>jwt.<\/span>decode(token, key=<\/span>'secret'<\/span>, algorithms=<\/span>['HS256'<\/span>], options=<\/span>{"verify_aud"<\/span>: False<\/span>}) <\/span><\/span><\/code><\/pre><\/li> 安全的密钥处理：<\/p> # 不信任令牌中的密钥声明<\/span> <\/span><\/span>decoded =<\/span> jwt.<\/span>decode(token, key=<\/span>fixed_public_key, algorithms=<\/span>['RS256'<\/span>]) <\/span><\/span><\/code><\/pre><\/li> <\/ul> 5. 总结<\/h2> 本文介绍了三种针对JWT的新型攻击方式，这些攻击利用了JWT实现中的算法混淆、密钥注入和椭圆曲线验证不足等漏洞。防御这些攻击需要开发者深入理解JWT的安全机制，并采取严格的验证策略和密钥管理措施。<\/p> 关键点总结<\/strong>：<\/p> 永远不要信任客户端提供的算法声明<\/li> 固定验证密钥，不从令牌中提取密钥<\/li> 对ECDSA实现完整的曲线验证<\/li> 使用最新版本的JWT库并保持更新<\/li> 实施最小权限原则，限制JWT的权限范围<\/li> <\/ol>