Jwt_Tool - 用于验证、伪造、扫描和篡改 JWT（JSON Web 令牌）

其功能包括：

• 检查令牌的有效性
• 测试已知漏洞：
  • (CVE-2015-2951) alg=none签名绕过漏洞
  • （CVE-2016-10555）RS / HS256公钥不匹配漏洞
  • (CVE-2018-0114)密钥注入漏洞
  • (CVE-2019-20933/CVE-2020-28637)空白密码漏洞
  • (CVE-2020-28042)空签名漏洞
• 扫描错误配置或已知弱点
• 模糊声明值以引发意外行为
• 测试机密/密钥文件/公共密钥/ JWKS密钥的有效性
• 通过高速字典攻击识别弱键
• 伪造新的令牌标头和有效载荷内容，并使用密钥或通过其他攻击方法创建新签名
• 时间戳篡改
• RSA 和 ECDSA 密钥生成和重建（来自 JWKS 文件）

要求

该工具是使用通用库在Python 3（版本3.6+）中原生编写的，但是各种加密功能（以及一般的美感/可读性）确实需要安装一些通用的Python库。

安装

安装只是下载jwt_tool.py文件（或git clonerepo）的一种情况。 （chmod如果您想将它添加到$PATH并从任何地方调用它，该文件也是如此。）

$ git clone https://github.com/ticarpi/jwt_tool
$ python3 -m pip install termcolor cprint pycryptodomex requests

首次运行时，该工具将生成一个配置文件、一些实用程序文件、日志文件以及一组各种格式的公钥和私钥。

项目地址：

https://github.com/ticarpi/jwt_tool