一、核心检测目标
针对JWT(JSON Web Token)的伪造攻击场景,流水线需覆盖以下攻击面验证:
- 签名篡改(如HS/RSA/ECDSA算法密钥破解)
- 算法混淆攻击(如
none算法绕过、RS/HS切换) - 过期令牌复用(过期
exp字段篡改) - 敏感信息泄露(Payload解码与敏感数据暴露)
二、流水线架构设计
1. 令牌采集模块
- 来源:CI/CD管道生成的测试环境令牌、生产环境匿名化日志
- 工具链:
# 示例:从HTTP流量捕获JWT tshark -Y 'http.content_type contains "jwt"' -T fields -e http.cookie > tokens.log
2. 预处理引擎
- 功能:
- 自动拆分Header/Payload/Signature三部分
- 解码Base64URL并校验JSON结构合法性
- 提取关键字段(
alg,kid,exp,iss等)
- 异常拦截:非法编码、超长令牌、算法黑名单检测
3. 攻击模拟层(核心检测逻辑)
| 攻击类型 | 检测策略 | 工具示例 |
|---|---|---|
| 签名绕过 | 强制修改Payload后使用空密钥/弱密钥重签 | PyJWT库模拟 |
| 算法混淆 | 篡改alg:none或RS256→HS256,配合公钥作为密钥重签 | jwt_tool脚本链 |
| KID注入 | 注入kid: ../../public.key等路径遍历参数 | 自定义路径遍历检测器 |
| 时效性绕过 | 修改exp为未来时间戳,重放至需时效验证的API端点 | 时间戳生成器+Postman |
4. 漏洞判定规则
def is_vulnerable(response): if response.status_code == 200 and "privileged_data" in response.text: return "CRITICAL: JWT伪造成功" elif "invalid_signature" not in response.text: return "WARNING: 异常响应未拒止攻击" return "PASS"5. 报告输出
- 风险等级:CRITICAL/HIGH/MEDIUM/LOW
- 证据链:原始令牌、篡改参数、攻击请求/响应快照
- 修复建议:如“强制验证
alg字段白名单”
三、关键技术实现
- 动态密钥测试:
- 集成常见弱密钥字典(如
secret、password) - 对RS256算法尝试公钥作为HS256密钥(典型配置错误)
- 集成常见弱密钥字典(如
- 熵值分析:
# 检测弱签名密钥 import math if entropy(signature) < 4.0: # 低熵值警报 report_weak_key()
四、持续集成实践
# GitLab CI 示例 jwt_scan_job: stage: security image: python:3.9 script: - pip install jwt_tool nuclei - python auto_jwt_scan.py --target $TEST_API artifacts: paths: [jwt_scan_report.html]五、最佳实践建议
- 密钥管理:使用HSM或KMS托管密钥,禁止硬编码
- 深度防御:
- 校验
iss(签发者)与aud(受众)字段 - 启用令牌黑名单(jti字段追踪)
- 校验
- 工具链扩展:集成Nuclei模板实现CVE漏洞检测
注:流水线需定期更新攻击模式库,应对新型JWT攻击手法(如2023年爆出的
jku头注入漏洞)。测试环境应模拟生产密钥轮换策略,避免检测盲区。
精选文章:
DeFi借贷智能合约漏洞扫描测试:软件测试从业者指南
娱乐-虚拟偶像:实时渲染引擎性能测试
NFT交易平台防篡改测试:守护数字资产的“不可篡改”基石
)
