深入探讨JWT越权漏洞的原理与利用复现总结

什么是JWT

JSON Web Token（JSON Web令牌）是一种跨域验证身份的方案。JWT不加密传输的数据，但能够通过数字签名来验证数据未被篡改。常用于分布式站点的单点登录。JWT的声明一般被用在客户端与服务端之间传递身份认证信息，便于向服务端请求资源。

1. 用户端登录，用户名和密码在请求中被发送至服务器。
2. 确认登录信息正确后，服务器生成JSON头部和声明，将登录信息写入JSON的声明中（通常不应写入密码，因为JWT是不加密的），并用指定算法进行加密，生成该用户的JWT。此时，服务器并没有保存登录状态信息。
3. 服务器将JWT返回给客户端。
4. 用户下次会话时，客户端会自动将JWT写入HTTP请求头部的Authorization字段中。
5. 服务器对JWT进行验证，若验证成功，则确认此用户的登录状态。
6. 服务器返回响应。

结构组成

JWT分为三部分：头部（Header）、声明（Claims）、签名（Signature），三个部分以英文句号隔开。JWT内容以Base64URL进行了编码。

环境搭建

在本例中，我们使用WebGoat作为靶场环境。

1. 部署WebGoat：下载并解压WebGoat文件，使用JDK17启动WebGoat服务器。
2. 访问WebGoat：通过浏览器访问 http://127.0.0.1:8080/WebGoat。

JWT伪造攻击

在WebGoat中找到相应靶场，尝试更改令牌以成为管理员用户，从而重置投票。

JWT身份验证攻击

利用JWT密钥爆破攻击，尝试爆破JWT密钥，从而修改JWT内容以达到越权目的。

JWT结合SQL注入

通过构造SQL注入语句，实现对系统的越权访问。在WebGoat中，我们尝试让Jerry越权删除Tom用户。

通过修改JWT内容中的用户名以及构造SQL注入语句，成功实现越权操作。

总结

JWT是一种常见的身份验证机制，但在实际应用中存在安全风险。攻击者可以利用JWT中的漏洞进行越权访问和身份伪造等恶意行为。因此，开发人员需要加强对JWT的安全性认识，采取有效的防御措施，确保系统安全。