jwt_tool.py是一个用于验证,伪造和破解JWT(JSONWeb令牌)的工具包。它是一串带有声明信息的字符串,由服务端使用加密算法对信息签名,以保证其完整性和不可伪造性。Token里可以包含所有必要的信息,这样服务端就无需保存任何关于用户或会话的信息了。JWT可用于身份认证,会话状态维持以及信息交换等任务。
其功能包括:
1、检查令牌的有效性
2、测试RS/HS公钥不匹配漏洞
3、测试alg=无签名绕过漏洞
4、测试秘密/密钥/密钥文件的有效性
5、通过高速字典攻击识别弱键
6、伪造新的令牌头和有效负载值,并使用密钥或其他攻击方法创建新签名
工具要求
本工具采用原生Python2.x开发,使用的都是常用Python库。大家可以在字典攻击选项中配置自定义字典文件。
工具安装
大家可以直接下载代码库中的jwt_tool.py文件,或使用下列命令将代码库克隆至本地:
gitclone