jwtXploiter — проверка безопасности веб-токена JSON

jwtXploiter — инструмент для проверки безопасности веб-токенов JSON. С помощью jwtXploiter вы сможете протестировать JWT на все известные уязвимости CVE.

Еще по теме: Уязвимости в сервисах совместной разработки

Проверка безопасности веб-токена JSON с помощью jwtXploiter

Для кого написан этот инструмент?

• Пентестер веб-приложений.
• Этот инструмент был написан с целью стать ключевой частью инструментария пентестеров.
• Разработчики, которым необходимо протестировать безопасность JWT, используемых в их приложениях.

Данный инструмент для проверки безопасности веб-токена Json не подойдет для всяких CTF, так-как автоматизирует поиск уязвимостей и не помогает в понимании работы самой уязвимости.

Возможности jwtXploiter

• Вмешательство в полезную нагрузку токена: изменяет значения утверждений и субтребований.
• Использовать известные уязвимые утверждения заголовков (kid, jku, x5u)
• Проверить токен
• Получите открытый ключ ssl-соединения вашей цели и попытайтесь использовать его в атаке путаницы ключей, используя только один вариант.
• Поддерживаются все JWA
• Создает JWK и вставляет его в заголовок токена

И многое, многое другое!

Установка jwtXploiter

Клонирования репозитория следует избегать, за исключением целей разработки! Пакет Deb следует рассматривать как бета-версию

RPM:

или, если на вашем компьютере установлена ​​предыдущая версия

PIP:

DEB:

Клонирование из репозитория:

Для установки зависимостей требуется пакет python3-pip, убедитесь, что он установлен.

Посмотрите вики для подробной документации.

ПОЛЕЗНЫЕ ССЫЛКИ:

• Инструменты для автоматизации атак на JWT
• Брут секретного ключа JWT с помощью Hashcat
• Поиск открытых баз данных с помощью поисковиков