JWTAuditor 是一款功能强大的客户端 JWT 安全测试与审计工具。这个版本在原版基础上进行了汉化和功能增强,使其更适合国内安全研究人员在离线环境下使用。
主要功能概览
该工具提供了全面的 JWT 安全测试能力:
- 高级安全分析:自动检测 JWT 令牌中的潜在漏洞并提供详细说明。
- 密钥暴力破解:支持使用内置的常见密钥字典或自定义词表进行暴力破解。
- JWT 编辑器:允许用户直接修改令牌的头部和载荷,支持多种签名算法。
- JWT 生成器:可以从零开始,使用 RSA 密钥生成新的 JWT 令牌。
- 高级攻击平台:集成了 7 个专用攻击模块,用于对 JWT 实现进行全面的安全性测试。
- 全面文档:内置了详细的学习资料,帮助用户深入理解 JWT 安全机制。
- 100% 客户端运行:所有操作均在浏览器本地完成,确保待测试的令牌数据不会外泄,提升了安全/渗透/逆向测试的隐私性。
本修改版的核心改进
相比于原版,此汉化加强版主要做了三点优化:
- 界面汉化:将原版英文界面全部翻译为中文,降低了国内用户的使用门槛。
- 去除网络依赖:移除了所有指向服务端的请求,确保工具在完全离线的内部网络环境中也能正常使用所有功能。
- 增强字典:合并了原项目自带的 10 万多条字典与 Tscan 项目的 10 万多条字典,经过去重后生成了一个包含超过 12 万条密钥的强化字典,提高了暴力破解的成功率。
工具使用与功能演示
使用方式非常简单,只需在工具目录下启动一个静态 HTTP 服务即可。例如使用 Python:
python3 -m http.server 8000
然后在浏览器中访问 http://localhost:8000 就能打开工具界面。
1. 解码与分析
工具的核心功能之一是解码并可视化 JWT 令牌的结构。
2. 自动安全分析
上传或粘贴 JWT 令牌后,工具会自动进行安全分析,识别如弱算法、令牌过期、包含敏感信息(PII)等多种安全问题。
3. 无算法攻击
攻击平台可以自动生成多种用于绕过签名验证的载荷,例如将算法设置为 none。
4. 密钥暴力破解
利用内置的强大字典,可以对使用弱密钥的 JWT 进行暴力破解。
项目获取
请注意,此工具仅用于授权的安全测试、教学研究或个人学习目的,请勿用于任何非法活动。 | 
发表于 8 小时前
|
查看: 5|
回复: 0
