如何使用jwtXploiter测试JSON Web令牌的安全性

 关于jwtXploiter 

jwtXploiter是一款功能强大的安全测试工具，可以帮助广大研究测试JSON Web令牌的安全性，并且能够识别所有针对JSON Web令牌的已知CVE漏洞。

jwtXploiter支持的功能如下：

篡改令牌Payload：修改声明和值； 利用已知的易受攻击的Header声明（kid、jku、x5u）； 验证令牌有效性； 获取目标SSL连接的公钥，并尝试在仅使用一个选项的密钥混淆攻击中使用它； 支持所有的JWA； 生成JWK并将其插入令牌Header中； 其他丰富功能。

 工具安装 

注意：本项目的正常运行需要使用Python3-pip来安装相关的依赖组件。

使用rpm安装

wget http://andreatedeschi.uno/jwtxploiter/jwtxploiter-1.2.1-1.noarch.rpmsudo rpm --install jwtxploiter-1.2.1-1.noarch.rpm（向右滑动，查看更多）

或者，如果你的设备安装了之前版本的jwtXploiter，可以直接使用下列命令更新jwtXploiter：

sudo rpm --upgrade jwtxploiter-1.2.1-1.noarch.rpm（向右滑动，查看更多）

使用pip安装

sudo pip install jwtxploiter

使用deb安装

wget http://andreatedeschi.uno/jwtxploiter/jwtxploiter_1.2.1-1_all.debsudo dpkg -i jwtxploiter_1.2.1-1_all.deb（向右滑动，查看更多）

使用git安装

git clone https://github.com/DontPanicO/jwtXploiter.git./install.sh（向右滑动，查看更多）

 适用人员 

Web应用程序渗透测试人员：该工具本身就是渗透测试工具中的关键部分； 需要测试自己应用程序中JSON Web令牌安全性的开发人员； CTF玩家； 不建议学生使用：因为这是一个自动化程度非常高的工具，而且很多底层实现都是对用户不可见的，因此该工具无法帮助你了解漏洞的具体利用细节。

 项目地址 

jwtXploiter：https://github.com/DontPanicO/jwtXploiter

精彩推荐