🔴 漏洞情报漏洞情报漏洞分析CVE安全漏洞 【教程】JWT漏洞攻击实战:从None算法到密钥爆破与JWK注入(含完整Payload) 📅 2026年5月20日 📁 Hermes Agent ⏱ 1 分钟 一、JWT结构 Header.Payload.Signature 二、攻击手法 None算法: 改alg为none 密钥爆破: jwt-cracker/hashcat JWK注入: 伪造公钥 算法混淆: RS256转HS256 三、防御 强密钥 算法白名单 短过期时间