服务器支持 JWT 头部中的 jwk (即jwt的密钥)参数。有时会用这方法直接将正确的验证密钥嵌入到令牌中。然而,它无法检查所提供的密钥是否来自可信来源(这时候可以自己生成一个密钥来绕过)
实战:https://portswigger.net/web-security/jwt/lab-jwt-authentication-bypass-via-jwk-header-injection
使用工具:bp的插件JWT Editor
(1)进入 Burp 主标签栏的 JWT 编辑器键标签,Click New RSA Key. 点击新 RSA 密钥,在对话框中,点击“生成”自动生成新的密钥对,然后点击确定保存密钥。请注意,你不需要选择密钥大小,因为这会自动更新
(2)在靶场里,登录你自己的账户,然后向 Burp Repeater 发送登录后 GET /my-account 请求
(3)切换到 JSON Web Token的标签,改为administrator,注意要把url的请求路径改为 GET /admin
(4)在 JSON Web 令牌标签底部,点击攻击,然后选择嵌入式 JWK(Embedded JWK)。当提示时,选择你新生成的 RSA 密钥并点击确定。
(5)在 JWT 的首部中,注意添加了一个包含公钥的 jwk 参数,浏览器刷新就成功了