文章目录前言1. JWT基础与漏洞概述2. JWT核心漏洞解析2.1 未校验签名2.1.1 漏洞原理2.1.2 利用方式2.1.3 实战脚本2.2 算法篡改漏洞2.2.1 漏洞原理2.2.2 核心说明2.2.3 攻击流程2.3 弱密钥漏洞2.3.1 漏洞原理2.3.2 利用方式2.4 垂直越权2.4.1 漏洞原理2.4.2 利用流程2.5 KID字段注入2.5.1 触发条件2.5.2 四类利用方式3. 漏洞防御建议4. 总结⚠️本博文所涉安全渗透测试技术、方法及案例仅用于网络安全技术研究与合规性交流旨在提升读者的安全防护意识与技术能力。任何个人或组织在使用相关内容前必须获得目标网络 / 系统所有者的明确且书面授权严禁用于未经授权的网络探测、漏洞利用、数据获取等非法行为。前言在当今的Web开发中JSON Web TokenJWT作为身份认证与授权的常用凭证广泛应用于前后端分离、微服务等架构。然而由于服务端配置不当、算法使用不规范等原因JWT容易出现多种漏洞被攻击者利用来实现越权访问或伪造身份。1. JWT基础与漏洞概述JWT由Header头部、Payload载荷、Signature签名三部分构成主要用于实现无状态的身份验证。正常情况下服务端通过校验签名来确认JWT的完整性与合法性。但如果校验逻辑存在缺陷攻击者就能够通过篡改凭证、破解密钥等手段绕过认证获取未授权的访问权限。2. JWT核心漏洞解析2.1 未校验签名2.1.1 漏洞原理服务端存在两种致命缺陷一是完全不校验JWT的签名部分直接信任Payload中的内容二是允许使用alg: none无签名算法该算法规定JWT无需进行签名校验仅需保证格式正确即可通过验证。这两种情况均允许攻击者任意篡改Payload中的用户ID、权限等核心信息实现身份伪造。2.1.2 利用方式修改JWT头部Header将算法指定为none即alg: none篡改Payload中的关键字段如将普通用户IDsub: 10086改为管理员IDsub: 1调整过期时间exp延长凭证有效期清除签名部分JWT最后一个.后面的内容留空提交篡改后的JWT即可绕过认证。2.1.3 实战脚本以下Python脚本可直接构造None算法的恶意JWT可根据目标系统调整Payload字段importtimeimportjwtdefforge_jwt_none_attack(exp_offset3600): 构造 JWT None 算法攻击的 Token :param exp_offset: 过期时间偏移秒默认1小时 :return: 构造好的 JWT Token header{typ:JWT,alg:none}# Payloadnowint(time.time())payload{exp:nowexp_offset,# 过期时间iat:now,# 签发时间iss:echisan,sub:业务参数,}# 生成 JWTkeyNone, algorithmNonetry:jwt_tokenjwt.encode(payload,keyNone,algorithmNone,headersheader)exceptTypeError:jwt_tokenjwt.encode(payload,key,# 部分旧版本需要传空字符串algorithmnone,headersheader)# 处理编码ifisinstance(jwt_token,bytes):jwt_tokenjwt_token.decode(utf-8)returnjwt_tokenif__name____main__:forged_tokenforge_jwt_none_attack()print(forged_token)2.2 算法篡改漏洞2.2.1 漏洞原理正常业务使用RS256非对称算法签名服务器持有私钥进行签名并对外公开公钥用于验签。该漏洞的根源在于服务端不硬编码指定验签算法而是直接读取JWT头部的alg字段来动态选择验签方式。攻击者将头部的alg:RS256篡改为alg:HS256然后利用服务器公开的RSA公钥直接作为HS256的对称密钥自行完成签名伪造。服务端读取alg为HS256后会误用公钥当作对称密钥完成验签从而直接放行恶意Token。2.2.2 核心说明服务器拥有私钥为何不用私钥验签RS256规范规定只能用公钥验签私钥仅负责签名验签流程全程不会使用私钥这是协议的固有规则。为何会用公钥当做HS256密钥这是由于程序逻辑存在缺陷只判断alg字段不设置算法白名单进行拦截。当切换为HS256对称验签后直接复用原有传入的公钥作为对称密钥导致验签失效。2.2.3 攻击流程抓取正常业务JWT获取服务器对外暴露的RSA公钥修改Header内alg值由RS256改为HS256篡改Payload内用户ID、权限、角色等敏感字段使用服务器公钥作为HS256密钥重新生成签名携带伪造Token请求接口服务端成功验签通过实现身份伪造。2.3 弱密钥漏洞2.3.1 漏洞原理JWT使用对称加密算法如HS256时服务端会使用固定密钥对JWT进行签名与校验。若该密钥强度极低攻击者可通过暴力破解的方式获取密钥进而伪造任意合法JWT。2.3.2 利用方式核心是通过工具爆破弱密钥常用工具推荐TscanPlusTideSec开源工具集成JWT弱密钥破解功能支持自定义字典操作便捷可直接联动其他功能进行后续攻击破解密钥后即可使用该密钥签名任意篡改后的Payload生成合法JWT。2.4 垂直越权2.4.1 漏洞原理垂直越权并非JWT自身的算法漏洞而是基于上述两种漏洞未校验签名、弱密钥的衍生攻击。攻击者通过伪造高权限用户的JWT凭证绕过服务端的权限控制访问原本只有管理员等高级角色才能访问的接口或资源。2.4.2 利用流程通过无签名攻击或弱密钥爆破获取伪造高权限JWT的能力篡改Payload中的权限字段如role: admin生成高权限JWT携带该JWT请求高权限接口如/admin/user/list、/system/setting实现垂直越权访问。2.5 KID字段注入2.5.1 触发条件JWT头部的kidKey ID字段用于指定服务端校验签名时使用的密钥如密钥文件路径、数据库中的密钥ID。若服务端未对kid字段进行过滤直接将其拼接至密钥读取、查询逻辑中攻击者可通过注入恶意内容实现SQL注入、命令执行、文件读取等攻击。2.5.2 四类利用方式SQL注入核心思路通过kid字段注入SQL语句篡改密钥查询结果让服务端使用攻击者指定的密钥进行签名校验。示例注入语句xxx_key UNION selectmykey from INFORMATION_SCHEMA.SYSTEM_USERS --关键注意点xxx_key必须是不存在的密钥确保UNION查询生效mykey为攻击者指定的密钥可根据需求进行Base64编码增强隐蔽性。此外还可结合布尔盲注、时间盲注获取服务端数据库中的真实密钥。命令注入适用场景服务端使用Ruby等语言通过open函数读取密钥文件时kid字段可拼接命令。测试方式在kid字段中注入命令拼接内容如kid: key|whoami若服务端执行该命令可获取服务器权限。该场景较为少见主要出现在配置不规范的Ruby项目中。文件读取路径穿越读取密钥通过kid字段注入路径穿越字符读取服务端本地的密钥文件如kid: ../../../../../etc/passwd读取系统用户信息、kid: ../../../../../var/www/secret.key读取应用密钥文件空密钥利用注入kid: ../../../../../dev/null让服务端读取空文件作为密钥此时可使用空密钥签名JWT实现伪造。3. 漏洞防御建议针对上述漏洞从开发与运维角度给出以下防御措施避免JWT被滥用严格校验签名禁止使用alg: none算法服务端必须校验JWT的签名完整性不信任未签名或签名无效的凭证明确指定验签算法避免动态读取alg字段导致算法篡改漏洞。强化密钥安全使用对称加密算法时采用高强度密钥至少16位随机字符串定期更换密钥优先使用非对称加密算法如RS256私钥严格保管不对外泄露。过滤危险字段对JWT头部的kid等字段进行严格过滤禁止特殊字符如、、|、../避免注入攻击。限制Payload权限Payload中不存储敏感信息如密码、密钥权限字段如role需在服务端二次校验不依赖JWT中的内容。缩短凭证有效期合理设置JWT的exp过期时间建议不超过1小时降低凭证泄露后的风险。4. 总结JWT漏洞的产生主要源于服务端校验逻辑不严谨、配置不当。攻击者利用篡改凭证、破解密钥、注入攻击等手段绕过身份认证与权限控制。对于安全从业者可借助本文内容快速识别JWT漏洞开展渗透测试。后续可结合具体项目场景深入研究JWT的进阶攻击方式进一步提升安全防护能力。本文是「Web安全基础」系列内容点击专栏导航查看全部系列内容。