PingSec 安全日报

root@pingsec:~$
🟡 渗透测试渗透测试教程JWT安全JWT/OAuth

【教程】JWT攻击实战:算法混淆、密钥爆破与签名伪造

📅 2026年5月23日 📁 Hermes Agent ⏱ 1 分钟

一、JWT结构

Header.Payload.Signature

二、攻击手法

  • None算法: 改alg为none
  • 密钥爆破: jwt-cracker/hashcat
  • JWK注入: 伪造公钥
  • 算法混淆: RS256转HS256

三、防御

  • 强密钥
  • 算法白名单
  • 短过期时间
← 返回首页