JWT安全分析

JWT全称 json web token 。是为了在应用环境间传递声明而执行的一种基于 JSON 的开放标准。 JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息, 以便于从资源服务器获取资源。

JWT由三部分构成:

头部:

头部分为两个字段,其中以个字段用来声明类型,字段值为jwt

第二个字段为声明签名的加密算法。

例如:

{"alg":"HS256","typ":"JWT"}

数据:

用来承载传输的数据内容,例如:

{ " name " : " baobao " , " sex " : " boy " }

签名:

这一部分为数据签名验证信息,用于保证数据的完整性和可信任性。

这三部分通过base64进行编码后使用"."进行衔接。

例如:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiYmFvYmFvIiwic2V4IjoiYm95IiwiaXNMb2dpbiI6dHJ1ZX0=.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT的安全问题:

1. 信息泄露

由于JWT的数据段部分是采用的base64编码传输所以很容易被转换成明文数据,造成数据泄露的问题。

2. 签名算法可修改为 none

由于头部字段中的alg字段用来声明签名的加密算法,所以如果这里修改为none则表明无签名字段,可以直接删除末尾的签名内容任意修改数据段的值。

3. 签名未效验

有些服务端未对签名字段进行效验,所以可以尝试直接删除签名字段信息来查看数据验证是否成功。

4. 数据签名可爆破

JWT通过效验 jwt 签名信息来保证数据的安全性,所以如果爆破出签名的加密秘钥我们就可以任意修改 jwt 的数据。

附上一个爆破工具。

https://github.com/Ch1ngg/JWTPyCrack

5. 修改非对称加密算法为加密对称算法

JWT的签名加密算法有两种,对称加密算法和非对称加密算法。对称加密算法比如 HS256 ,加解密使用同一个密钥,保存在服务端。非对称加密算法比如RS256,后端加密使用私钥,前端解密使用公钥。

如果我们修改alg字段,将算法从 RS256 更改为 HS256 ,服务端会使用 RS256 的公钥作为 HS256 算法的密钥。于是我们就可以用 RS256 的公钥伪造数据。

相关推荐
xkroy5 分钟前
网络协议概念与应用层
网络
能工智人小辰6 分钟前
二刷 苍穹外卖day10(含bug修改)
java·开发语言
DKPT7 分钟前
Java设计模式之结构型模式(外观模式)介绍与说明
java·开发语言·笔记·学习·设计模式
筏.k17 分钟前
C++ 网络编程(14) asio多线程模型IOThreadPool
网络·c++·架构
mooyuan天天26 分钟前
DVWA靶场通关笔记-文件上传(Medium级别)
web安全·文件上传·文件上传漏洞·dvwa靶场·文件上传mime
LL.。31 分钟前
同步回调和异步回调
开发语言·前端·javascript
门思科技41 分钟前
设计可靠 LoRaWAN 设备时需要考虑的关键能力
运维·服务器·网络·嵌入式硬件·物联网
0wioiw043 分钟前
Python基础(吃洋葱小游戏)
开发语言·python·pygame
栗子~~1 小时前
Python实战- Milvus 向量库 使用相关方法demo
开发语言·python·milvus
狐凄1 小时前
Python实例题:基于 Flask 的在线聊天系统
开发语言·python