JWT越权渗透测试实战教学文档<\/h1>

1. JWT基础概念<\/h2>

1.1 什么是JWT<\/h3>
JWT(Json Web Token)是目前最流行的跨域认证解决方案，由三部分组成，以点(.)分隔的Base64编码字符串：<\/p>
Header(头部)<\/strong>：包含令牌类型和签名算法<\/p>
{
<\/span><\/span>  "kid"<\/span>: "keys\/3c3c2ea1c3f213f649dc9389dd71b851"<\/span>,
<\/span><\/span>  "typ"<\/span>: "JWT"<\/span>,
<\/span><\/span>  "alg"<\/span>: "RS256"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>

Payload(负载)<\/strong>：包含用户身份信息和其他声明<\/p>
{
<\/span><\/span>  "sub"<\/span>: "admin"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>

Signature(签名)<\/strong>：用于验证令牌完整性和真实性<\/p>
<\/li>
<\/ol>
1.2 JWT常见攻击方式<\/h3>

未校验签名<\/strong>：直接修改Payload部分，重新生成Token<\/li>
禁用Hash(alg=None)<\/strong>：将alg值改为None，绕过签名验证<\/li>
爆破弱秘钥<\/strong>：使用工具爆破JWT使用的弱密钥<\/li>
<\/ol>
2. 渗透测试案例详解<\/h2>
2.1 系统架构分析<\/h3>
目标系统采用SSO(单点登录)架构：<\/p>

初始认证：Oracle WebCenter<\/li>
子系统认证：JWT<\/li>
<\/ul>
Oracle WebCenter是一个面向社交业务的用户参与平台，提供上下文相关的协作工具。<\/p>
2.2 认证流程分析<\/h3>


初始认证阶段<\/strong>：<\/p>

用户通过Oracle WebCenter进行认证<\/li>
认证成功后返回JSON格式的Session信息<\/li>
<\/ul>
<\/li>

JWT Token获取阶段<\/strong>：<\/p>

系统向OAM接口请求JWT Token<\/li>
请求携带SessionID Cookie证明账户有效性<\/li>
OAM接口返回JWT authorizationToken<\/li>
<\/ul>
<\/li>

资源访问阶段<\/strong>：<\/p>

系统自动在Header中添加JWT authorizationToken<\/li>
服务器返回UID等敏感信息<\/li>
<\/ul>
<\/li>
<\/ol>
2.3 漏洞发现过程<\/h3>


越权点定位<\/strong>：<\/p>

系统未严格校验UID和JWT authorizationToken的对应关系<\/li>
可通过遍历UID实现越权访问<\/li>
<\/ul>
<\/li>

漏洞利用步骤<\/strong>：<\/p>

通过API爆破UID<\/li>
修改请求中的UID值<\/li>
保持JWT Token中的账户信息不变<\/li>
获取目标用户的权限和数据<\/li>
<\/ul>
<\/li>
<\/ol>
2.4 完整攻击链<\/h3>

爆破UID获取有效用户ID<\/li>
使用有效UID和原始JWT Token构造请求<\/li>
获取用户分组权限信息<\/li>
获取用户未读信息<\/li>
获取菜单信息<\/li>
获取用户基本信息(baseinfo)<\/li>
获取系统按钮、选项等剩余信息<\/li>
<\/ol>
3. 漏洞修复建议<\/h2>


严格校验机制<\/strong>：<\/p>

校验authorizationToken、UID和user字段的一致性<\/li>
确保三者中的用户信息匹配<\/li>
<\/ul>
<\/li>

安全增强措施<\/strong>：<\/p>

实现Token与UID的绑定机制<\/li>
增加请求来源验证<\/li>
实施速率限制防止爆破<\/li>
<\/ul>
<\/li>
<\/ol>
4. 渗透测试技巧<\/h2>


全面抓包分析<\/strong>：<\/p>

不要放过任何请求和响应<\/li>
仔细检查History中的所有记录<\/li>
<\/ul>
<\/li>

关注认证流程<\/strong>：<\/p>

特别关注认证过程中的每个环节<\/li>
注意不同认证机制之间的切换点<\/li>
<\/ul>
<\/li>

参数篡改测试<\/strong>：<\/p>

尝试修改所有可能的身份标识参数<\/li>
测试参数间的依赖关系<\/li>
<\/ul>
<\/li>
<\/ol>
5. 工具推荐<\/h2>


JWT攻击工具<\/strong>：<\/p>

jwt_tool<\/a>：JWT测试和破解工具<\/li>
<\/ul>
<\/li>

学习资源<\/strong>：<\/p>

JWT攻击方式详解<\/a><\/li>
<\/ul>
<\/li>
<\/ol>
6. 总结<\/h2>
本案例展示了JWT实现不当导致的越权漏洞，关键点在于：<\/p>

系统未校验UID与Token的对应关系<\/li>
认证流程中存在可绕过的环节<\/li>
身份标识参数可被枚举<\/li>
<\/ul>
渗透测试中，细心和系统性的分析是发现此类漏洞的关键。对于JWT实现，必须确保完整的校验机制和参数绑定。<\/p>