jwtXploiter — инструмент для проверки безопасности веб-токена Json

hacking tools

jwtXploiter — инструмент для проверки безопасности веб-токенов JSON. С помощью jwtXploiter вы сможете протестировать JWT на все известные уязвимости CVE.

Еще по теме: Уязвимости в сервисах совместной разработки

Проверка безопасности веб-токена Json с помощью jwtXploiter

Для кого написан этот инструмент?

  • Пентестер веб-приложений.
  • Этот инструмент был написан с целью стать ключевой частью инструментария пентестеров.
  • Разработчики, которым необходимо протестировать безопасность JWT, используемых в их приложениях.

Данный инструмент для проверки безопасности веб-токена Json не подойдет для всяких CTF, так-как автоматизирует поиск уязвимостей и не помогает в понимании работы самой уязвимости.

Возможности jwtXploiter

  • Вмешательство в полезную нагрузку токена: изменяет значения утверждений и субтребований.
  • Использовать известные уязвимые утверждения заголовков (kid, jku, x5u)
  • Проверить токен
  • Получите открытый ключ ssl-соединения вашей цели и попытайтесь использовать его в атаке путаницы ключей, используя только один вариант.
  • Поддерживаются все JWA
  • Создает JWK и вставляет его в заголовок токена

И многое, многое другое!

JSON Web Tokens
JWT-CRACK

Установка jwtXploiter

Клонирования репозитория следует избегать, за исключением целей разработки! Пакет Deb следует рассматривать как бета-версию

RPM:

wget http://andreatedeschi.uno/jwtxploiter/jwtxploiter-1.2.1-1.noarch.rpm
sudo rpm --install jwtxploiter-1.2.1-1.noarch.rpm

или, если на вашем компьютере установлена ​​предыдущая версия

sudo rpm --upgrade jwtxploiter-1.2.1-1.noarch.rpm

PIP:

sudo pip install jwtxploiter

DEB:

wget http://andreatedeschi.uno/jwtxploiter/jwtxploiter_1.2.1-1_all.deb
sudo dpkg -i jwtxploiter_1.2.1-1_all.deb

Клонирование из репозитория:

git clone https://github.com/DontPanicO/jwtXploiter.git
./install.sh

Для установки зависимостей требуется пакет python3-pip, убедитесь, что он установлен.

Посмотрите вики для подробной документации.

Еще по теме: Поиск открытых баз данных с помощью поисковиков

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *