JWT渗透测试全面指南<\/h1>

文章前言<\/h2>
企业内部产品应用广泛使用JWT作为用户身份认证方式，本文汇总了JWT相关的各种安全问题，包括新发现的安全问题以及之前遗留的部分JWT安全问题，形成一篇完整的JWT安全指南。<\/p>

JWT基础概念<\/h2>

基本定义<\/h3>
JWT(JSON Web Token)是一种用于身份认证和授权的开放标准，它通过在网络应用间传递被加密的JSON数据来安全地传输信息。对于渗透测试人员而言，JWT可能是非常吸引人的攻击途径，因为它们可能隐藏着特权升级、信息泄露、SQL注入、XSS、SSRF、RCE、LFI等漏洞的利用途径。<\/p>

相关术语<\/h3>

JWS<\/strong>：Signed JWT，签名过的JWT<\/li>
JWK<\/strong>：JWT的密钥，也就是常说的SECRET<\/li>
JWE<\/strong>：Encrypted JWT，部分payload经过加密的JWT<\/li>
JKU<\/strong>：JWT Header中的一个字段，内容是一个URI，用于指定验证令牌秘钥的服务器<\/li>
X5U<\/strong>：JWT Header中的一个字段，指向一组X509公共证书的URL<\/li>

X.509标准<\/strong>：公钥证书的格式标准，是TLS\/SSL等众多Internet协议的基础<\/li> <\/ul>
JWT基本结构<\/h2>
JWT由三部分组成：Header、Payload和Signature。<\/p>
Header<\/h3>
Header包含JWT使用的算法和类型等元数据信息，通常使用JSON对象表示并使用Base64编码。主要字段：<\/p>

alg<\/code>：指定使用的加密算法（如HMAC、RSA、ECDSA等）<\/li>
typ<\/code>：指定JWT的类型（通常为JWT）<\/li> <\/ul> 示例：<\/p> { <\/span><\/span> "alg"<\/span>: "HS256"<\/span>, <\/span><\/span> "typ"<\/span>: "JWT"<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>Payload<\/h3> Payload包含JWT的主要信息，通常使用JSON对象表示并使用Base64编码。Payload包含三种类型的字段：<\/p> 注册声明(Registered Claims)<\/strong>：预定义的标准字段（如iss、exp、sub等）<\/li> 公共声明(Public Claims)<\/strong>：自定义的非敏感信息字段（如用户ID、角色等）<\/li> 私有声明(Private Claims)<\/strong>：自定义的敏感信息字段（如密码、信用卡号等）<\/li> <\/ol> 示例：<\/p> { <\/span><\/span> "sub"<\/span>: "1234567890"<\/span>, <\/span><\/span> "name"<\/span>: "John Doe"<\/span>, <\/span><\/span> "iat"<\/span>: 1516239022<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>Signature<\/h3> Signature是使用指定算法对Header和Payload进行签名生成的，用于验证JWT的完整性和真实性。生成方式通常是将Header和Payload连接起来然后使用指定算法进行签名。<\/p> 示例签名生成：<\/p> HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret ) <\/code><\/pre> 完整JWT示例<\/h3> eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c <\/code><\/pre> JWT工作原理<\/h2> 基本工作流程<\/h3> 用户在客户端登录并将登录信息发送给服务器<\/li> 服务器使用私钥对用户信息进行加密生成JWT并发送给客户端<\/li> 客户端将JWT存储在本地，每次请求时携带JWT进行认证<\/li> 服务器使用公钥对JWT进行解密和验证<\/li> 服务器处理请求并返回响应<\/li> <\/ol> JKU工作原理<\/h3> 用户携带JWS(带有签名的JWT)访问应用<\/li> 应用程序解码JWS得到JKU字段<\/li> 应用根据JKU访问返回JWK的服务器<\/li> 应用程序得到JWK<\/li> 使用JWK验证用户JWS<\/li> 验证通过则正常响应<\/li> <\/ol> JWT漏洞攻防<\/h2> 1. 签名未校验<\/h3> 漏洞原理<\/strong>：开发人员混淆了验证令牌的方法和解码令牌的方法，只将传入的令牌传递给decode()方法，导致应用程序不验证签名。<\/p> 靶场示例<\/strong>：<\/p> 靶场地址：https:\/\/portswigger.net\/web-security\/jwt\/lab-jwt-authentication-bypass-via-unverified-signature<\/li> 攻击步骤：登录普通用户账户<\/li> 捕获JWT令牌<\/li> 修改payload中的sub为"administrator"<\/li> 重新发送请求获取管理员权限<\/li> <\/ol> <\/li> <\/ul> 2. 签名算法设置为None<\/h3> 漏洞原理<\/strong>：JWT支持将alg字段设为"None"，表示不签名。如果服务器未关闭此功能，攻击者可伪造任意token。<\/p> 攻击方法<\/strong>：<\/p> { <\/span><\/span> "alg"<\/span>: "none"<\/span>, <\/span><\/span> "typ"<\/span>: "JWT"<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>靶场示例<\/strong>：<\/p> 靶场地址：https:\/\/portswigger.net\/web-security\/jwt\/lab-jwt-authentication-bypass-via-flawed-signature-verification<\/li> 攻击步骤：捕获普通用户JWT<\/li> 修改alg为"none"<\/li> 修改payload中的sub为"administrator"<\/li> 移除签名部分<\/li> 发送修改后的JWT获取管理员权限<\/li> <\/ol> <\/li> <\/ul> 3. 密钥暴力猜解<\/h3> 漏洞原理<\/strong>：使用弱密钥或默认密钥，容易被暴力破解。<\/p> 公开密钥列表<\/strong>： https:\/\/github.com\/wallarm\/jwt-secrets\/blob\/master\/jwt.secrets.list<\/p> 使用Hashcat破解<\/strong>：<\/p> hashcat -a 0 -m 16500 <jwt> <wordlist> <\/code><\/pre> 靶场示例<\/strong>：<\/p> 靶场地址：https:\/\/portswigger.net\/web-security\/jwt\/lab-jwt-authentication-bypass-via-weak-signing-key<\/li> 攻击步骤：使用字典暴力破解密钥<\/li> 发现密钥为"secret1"<\/li> 使用该密钥生成管理员权限的JWT<\/li> 获取管理员权限<\/li> <\/ol> <\/li> <\/ul> 4. JWT头部注入<\/h3> 4.1 JWK参数注入<\/h4> 漏洞原理<\/strong>：服务器使用jwk参数中嵌入的键值验证签名，而非使用有限的公钥白名单。<\/p> 靶场示例<\/strong>：<\/p> 靶场地址：https:\/\/portswigger.net\/web-security\/jwt\/lab-jwt-authentication-bypass-via-jwk-header-injection<\/li> 攻击步骤：使用BurpSuite的JWT Editor生成新的RSA密钥<\/li> 修改JWT，在header中添加jwk参数嵌入公钥<\/li> 修改payload中的sub为"administrator"<\/li> 使用私钥签名<\/li> 发送修改后的JWT获取管理员权限<\/li> <\/ol> <\/li> <\/ul> 4.2 JKU参数注入<\/h4> 漏洞原理<\/strong>：服务器使用jku参数引用的JWK集验证签名，而非受信任的域。<\/p> 靶场示例<\/strong>：<\/p> 靶场地址：https:\/\/portswigger.net\/web-security\/jwt\/lab-jwt-authentication-bypass-via-jku-header-injection<\/li> 攻击步骤：生成新的RSA密钥<\/li> 将公钥作为JWK上传到exploit服务器<\/li> 修改JWT的jku指向exploit服务器<\/li> 修改kid匹配JWK中的kid<\/li> 修改payload中的sub为"administrator"<\/li> 发送修改后的JWT获取管理员权限<\/li> <\/ol> <\/li> <\/ul> 4.3 KID参数路径遍历<\/h4> 漏洞原理<\/strong>：kid参数易受目录遍历攻击，可迫使服务器使用任意文件作为验证密钥。<\/p> 靶场示例<\/strong>：<\/p> 靶场地址：https:\/\/portswigger.net\/web-security\/jwt\/lab-jwt-authentication-bypass-via-kid-header-path-traversal<\/li> 攻击步骤：生成对称密钥，k值设为"AA=="(null)<\/li> 修改JWT的kid为"..\/..\/dev\/null"<\/li> 修改alg为"HS256"<\/li> 修改payload中的sub为"administrator"<\/li> 使用对称密钥签名<\/li> 发送修改后的JWT获取管理员权限<\/li> <\/ol> <\/li> <\/ul> 5. 算法混淆攻击<\/h3> 漏洞原理<\/strong>：迫使服务器使用不同于预期的算法验证JWT签名，如使用HS256而非RS256。<\/p> 靶场示例<\/strong>：<\/p> 靶场地址：https:\/\/portswigger.net\/web-security\/jwt\/algorithm-confusion\/lab-jwt-authentication-bypass-via-algorithm-confusion<\/li> 攻击步骤：从\/jwks.json获取服务器公钥<\/li> 将公钥转换为PEM格式并Base64编码<\/li> 创建对称密钥，k值为编码后的公钥<\/li> 修改JWT的alg为"HS256"<\/li> 修改payload中的sub为"administrator"<\/li> 使用对称密钥签名<\/li> 发送修改后的JWT获取管理员权限<\/li> <\/ol> <\/li> <\/ul> 6. 令牌派生公钥<\/h3> 使用工具<\/strong>：<\/p> 工具地址：https:\/\/github.com\/silentsignal\/rsa_sign2n<\/li> 使用Docker命令： docker run --rm -it portswigger\/sig2n <token1> <token2> <\/code><\/pre> <\/li> <\/ul> 7. 敏感信息泄露<\/h3> 漏洞原理<\/strong>：JWT payload可能包含敏感信息，如密码等。<\/p> 示例<\/strong>：<\/p> 获取JWT并Base64解码payload<\/li> 发现包含password字段（可能是MD5哈希）<\/li> 破解MD5哈希获取明文密码<\/li> 使用获取的凭据登录<\/li> <\/ol> 8. 密钥硬编码<\/h3> 风险<\/strong>：<\/p> 密钥容易被发现和窃取<\/li> 难以进行密钥轮换和管理<\/li> 可能导致多个应用共享同一密钥<\/li> <\/ul> 9. 会话续期问题<\/h3> 9.1 无限使用<\/h4> 过期的JWT仍可继续使用<\/li> <\/ul> 9.2 Token刷新缺陷<\/h4> 续期逻辑错误导致新旧token一致<\/li> <\/ul> 9.3 N个新Token生成<\/h4> 在续期期间可无限制生成多个有效JWT<\/li> <\/ul> 工具集合<\/h2> 1. jwt_tool<\/h3> 项目地址<\/strong>： https:\/\/github.com\/ticarpi\/jwt_tool<\/p> 主要功能<\/strong>：<\/p> 检查令牌有效性<\/li> 测试已知漏洞<\/li> 扫描配置错误<\/li> Fuzz声明值<\/li> 测试密钥有效性<\/li> 高速字典攻击<\/li> 时间戳篡改<\/li> 密钥生成和重建<\/li> 伪造新令牌<\/li> <\/ul> 2. MyJWT<\/h3> 功能<\/strong>：<\/p> 修改JWT<\/li> None漏洞利用<\/li> RSA\/HMAC混淆<\/li> 密钥暴力破解<\/li> kid注入<\/li> Jku绕过<\/li> X5u绕过<\/li> <\/ul> 3. 辅助脚本<\/h3> 脚本地址<\/strong>： https:\/\/gist.github.com\/imparabl3\/efcf4a991244b9f8f99ac39a7c8cfe6f<\/p> 功能<\/strong>：<\/p> 利用CRLF漏洞<\/li> <\/ul> 参考链接<\/h2> JWT secrets list: https:\/\/github.com\/wallarm\/jwt-secrets\/blob\/master\/jwt.secrets.list<\/li> PortSwigger JWT labs: https:\/\/portswigger.net\/web-security\/jwt\/<\/li> rsa_sign2n: https:\/\/github.com\/silentsignal\/rsa_sign2n<\/li> <\/ol>

JWT渗透测试全面指南<\/h1>

文章前言<\/h2> 企业内部产品应用广泛使用JWT作为用户身份认证方式，本文汇总了JWT相关的各种安全问题，包括新发现的安全问题以及之前遗留的部分JWT安全问题，形成一篇完整的JWT安全指南。<\/p>

JWT基础概念<\/h2>

JWT基本结构<\/h2> JWT由三部分组成：Header、Payload和Signature。<\/p>

JWT工作原理<\/h2>

JWT漏洞攻防<\/h2>

4. JWT头部注入<\/h3>

9. 会话续期问题<\/h3>

工具集合<\/h2>

参考链接<\/h2> JWT secrets list: https:\/\/github.com\/wallarm\/jwt-secrets\/blob\/master\/jwt.secrets.list<\/li> PortSwigger JWT labs: https:\/\/portswigger.net\/web-security\/jwt\/<\/li> rsa_sign2n: https:\/\/github.com\/silentsignal\/rsa_sign2n<\/li> <\/ol>

文章前言<\/h2>
企业内部产品应用广泛使用JWT作为用户身份认证方式，本文汇总了JWT相关的各种安全问题，包括新发现的安全问题以及之前遗留的部分JWT安全问题，形成一篇完整的JWT安全指南。<\/p>

JWT基本结构<\/h2>
JWT由三部分组成：Header、Payload和Signature。<\/p>

参考链接<\/h2>

JWT secrets list: https:\/\/github.com\/wallarm\/jwt-secrets\/blob\/master\/jwt.secrets.list<\/li>
PortSwigger JWT labs: https:\/\/portswigger.net\/web-security\/jwt\/<\/li>
rsa_sign2n: https:\/\/github.com\/silentsignal\/rsa_sign2n<\/li> <\/ol>