2026-04-02 05:15:30 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文系统整理了JWT（JSONWebToken）相关的常见面试题与核心知识点，涵盖其定义、结构、签名算法、攻击类型及防御方法。文中详细列举了多种攻击方式，如算法混淆、alg为none、JKU/JWK注入等，并提供了相应的利用方法与检测步骤。此外，文章还附带了作者团队好靶场的平台介绍与广告信息。 综合评分： 85 文章分类： WEB安全,渗透测试,CTF,技术标准,解决方案

cover_image

【面试题】一些整理的JWT的面试题

原创

小王小王

好靶场

2026年3月29日 15:40 四川

58.5

💡 好靶场

团队宗旨：我们立志于为所有的网络安全同伴制作出好的靶场，让所有初学者都可以用最低的成本入门网络安全。所以我们团队名称就叫“好靶场”。

我们承诺每天至少更新1-2个新靶场。我们要的是稳定更新，而不仅仅是堆叠数量。

• 全球第一家以SRC报告为蓝图制作靶场的网络安全靶场平台。
• 全球第一家引入AI靶场助教的网络安全靶场平台。
• 14个不同方向靶场供你选择。
• 代码审计+漏洞修复靶场全新上架。
• 无门槛费，每次开启不扣除积分，不扣除金币，超级会员每天不限次数开启靶场。
• 靶场独立，每个靶场环境完全隔离。

好靶场目前进度

815

靶场数量

210个

漏洞报告数量

概述

大家经过上面的内容应该已经对JWT相关问题有一个很深刻的认识，我们本节主要是针对JWT漏洞的一个整理和总结，以及一些常见的面试题。这些面试题会随着积累而增加。

漏洞例举

以下是目前整理出来的漏洞。具体的学习内容可以查看这个。

http://www.loveli.com.cn/chapter_course_list?course_id=81

• Signature未校验签名有效性
• alg标签标记为none(无签名)
• alg标签标记为空
• JWT 对称加密弱密钥
• JWT Tool 使用手册
• JWT 默认密钥问题
• JWT 头部注入绕过 JWT 身份验证
• JKU远程公钥加载
• KID 空文件绕过JWT 身份验证
• KID 空文件绕过JWT 身份验证-变种1
• JWT 公钥泄露+算法混淆
• JWT 算法混淆 + 公钥推导
• JWT 敏感信息泄露

面试题目

什么是JWT？它的结构是怎样的？

• JWT（JSON Web Token）是一种用于身份验证和信息传递的无状态令牌，由Header、Payload、Signature三部分组成，格式为Header.Payload.Signature。
• Header：说明令牌类型和签名算法（如{"alg":"HS256","typ":"JWT"}）
• Payload：存放实际数据（用户ID、角色、过期时间等）
• Signature：对前两部分的签名，防止篡改

深度扩展：

• 对比Session认证：JWT无需服务器存储状态，适合分布式系统
• 强调Header和Payload仅是Base64编码，未加密，敏感信息不应放在Payload中

JWT的签名算法有哪些？对称与非对称的区别？

标准答案：

• 对称算法：HS256（HMAC + SHA256），使用同一个密钥进行签名和验证
• 非对称算法：RS256（RSA + SHA256），私钥签名，公钥验证
• 其他：ES256（ECDSA）、PS256等

深度扩展：

• 解释算法混淆攻击的原理：服务器预期用RS256，攻击者改为HS256，并用服务器公钥作为HMAC密钥
• 提及alg: none漏洞：早期JWT库支持无签名算法

列举常见的JWT攻击类型并简述原理

以下是目前整理出来的漏洞。具体的学习内容可以查看这个。

http://www.loveli.com.cn/chapter_course_list?course_id=81

• Signature未校验签名有效性
• alg标签标记为none(无签名)
• alg标签标记为空
• JWT 对称加密弱密钥
• JWT Tool 使用手册
• JWT 默认密钥问题
• JWT 头部注入绕过 JWT 身份验证
• JKU远程公钥加载
• KID 空文件绕过JWT 身份验证
• KID 空文件绕过JWT 身份验证-变种1
• JWT 公钥泄露+算法混淆
• JWT 算法混淆 + 公钥推导
• JWT 敏感信息泄露

JKU注入和JWK注入的区别？

标准答案：

• JWK注入：直接在JWT Header中嵌入jwk字段，包含攻击者的公钥
• JKU注入：在Header中设置jku字段，指向一个URL，服务器从该URL获取JWKS公钥集
• 关键区别：JWK是内联公钥，JKU是远程获取公钥集

深度扩展：

• 攻击条件：服务器未验证JKU来源的合法性
• 防御：限制JKU域名白名单、不信任用户提供的JKU

如何有效防御JWT漏洞？

标准答案：

1. 强制算法白名单：只允许预期的算法（如只接受HS256）
2. 严格过滤Header参数：不信任客户端传来的alg、kid、jku等
3. 实施零信任后端验证：

• 始终验证签名，即使alg为none
• 密钥与算法绑定（HS256用对称密钥，RS256用非对称密钥对）

4. 安全配置：

• 使用强密钥，定期轮换
• 设置合理的过期时间（exp）
• Payload不存放敏感信息

你在实战中如何检测JWT漏洞

1. 识别JWT：在Cookie或Authorization头中寻找eyJ开头的字符串
2. 解码分析：用jwt.io或Burp插件查看Header和Payload
3. 测试点检查：

• 修改alg为none → 空算法漏洞
• 修改Payload数据（如role:admin）→ 未验证签名
• 查找公钥端点（/jwks.json）→ 算法混淆可能
• 检查kid/jku参数 → 注入漏洞
• …这里参考上述漏洞

4. 工具辅助：Burp的JWT Editor插件、jwt_tool

如果发现JWT使用弱密钥（如”secret”），如何利用

1. 使用字典爆破密钥（工具：hashcat、jwt-cracker）
2. 爆破成功后，用该密钥重新签名伪造的Payload
3. 实现越权访问（如普通用户→管理员）

描述一次你利用JWT漏洞的实际经历

标准答案框架：

• 情境：在XX渗透测试/CTF比赛中
• 任务：需要获取管理员权限
• 行动：

1. 发现JWT存储在Cookie中
2. 解码发现alg: HS256，Payload有role: user
3. 尝试修改role: admin，签名无效
4. 找到/jwks.json端点，获取公钥
5. 实施算法混淆攻击，成功提升权限

• 结果：获取管理员后台访问权限，报告漏洞

这里注意你可以把上述所有的JWT漏洞全部念一遍

总结：

一般的情况下，最爱问的就是JWT有哪些漏洞，解释原理以及攻击方式，然后就是你遇到过的哪些JWT实际案列。

好靶场介绍

零基础入门不迷茫！专属网络安全从零到一体系化训练——配套完整靶场+精选学习资料，帮你快速搭建网安知识框架，迈出入门关键一步！

全场景实战全覆盖！聚焦Web渗透工程师核心能力，深度拆解TOP10逻辑漏洞，精通PHP代码审计、Java代码审计等核心技能，从基础原理到实战攻防，覆盖行业高频应用场景！

真实漏洞场景沉浸式体验！src训练专题重磅上线——1:1还原真实漏洞报告，让你亲身感受实战挖洞流程，积累符合企业需求的实战经验！

有宝子就问了，主播主播，这么好的靶场怎么用：

首先关注好靶场

然后发送bug，可以点击链接直接登录

福利1：

找到个人中心，邀请码输入0482d6d28539424c，白嫖14天高级会员。

福利2：

关注好靶场bilibili。拿着关注截图找到客服，领取5积分或者7天高级会员。

~ 每日限免

为了能让更多的宝子可以免费的开启会员靶场，我们会在工作日随机开放一些靶场的限免，还请加群关注。我们会以如下的方式在群里通知。

~ 内部群

加群不收费哈！！！交流群里会每天更新限免靶场，以及免费学习资料。

进一个群就可以，所有的通知都会通知到位

进交流群，请加我好友

喜欢玩QQ的宝子们可以加这个QQ群

AI客服内测ing

可以完成简单的客服能力，以及靶场推荐

会员订阅

首先点击会员订阅

#

然后选择对应的套餐

#

选择去支付

#

支付完成后即可会员到账

#

有什么好的建议可以在留言区评论哦

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：好靶场小王小王《【面试题】一些整理的JWT的面试题》