JWT没验Signature?登录白做了

admin 2026-07-02 04:47:53 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍一次授权小程序测试中发现的JWT签名验证缺失漏洞。通过删除JWT的signature部分,仅保留payload即可通过认证,从而篡改payload实现任意账号登录。该漏洞源于开发人员未校验JWT完整性,仅提取payload进行身份认证。建议安全测试时尝试此方法,可能发现类似问题。 综合评分: 83 文章分类: 渗透测试,漏洞分析,WEB安全


cover_image

JWT 没验 Signature?登录白做了

原创

pippybear pippybear

安全无界

2026年6月29日 20:30 上海

在小说阅读器读本章

去阅读

声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

这是挺久之前的一次授权小程序测试,分享也是因为漏洞点确实挺有意思(不过横竖想来还是那句话,一切的一切都是开发大佬在赏饭),话不多说直接开始正文。

小程序直接使用微信快捷登录即可(再也不受没有账号的气了,这里简单的看了一下并没有直接传输sessionkey,反编译小程序也没有看到硬编码的secret,这条过),进入之后功能如下,很传统的一个揉杂应用,功能还挺多的。

不过本文的重点,并非其他的功能测试上面,而是在凭证上面,所以其他的测试就不再本文赘述。

可以看到如下数据报,乍一看,都会直接忽略,不过有些时候还是可以尝试一下这个JWT认证是否真的进行了完整校验(大部分情况下JWT密钥设计的还是没有那么容易爆破,而且公开的JWT缺陷也基本都是封堵的)。

这种类似的情况虽然不多,但是小编也大大小小遇到过不少次,并没有复杂的操作,只需要简单的删除一下signature部分,看数据报是否还正常响应(即可能开发老哥并没有校验完整性,只是取payload部分做了认证),如下。

这样即可直接篡改payload部分认证元素实现任意账号登录,如下,大家测试的时候不妨也试试,说不定有奇效。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全无界 pippybear pippybear《JWT 没验 Signature?登录白做了》

ADCS-ESC4枚举和利用 网络安全文章

ADCS-ESC4枚举和利用

文章总结: ADCS-ESC4攻击通过修改证书模板属性(如授予注册权限、禁用审批标志、启用自定义主体名称等),将安全模板转化为具备ESC1漏洞的模板,从而允许攻
ADCS-ESC4枚举和利用 网络安全文章

ADCS-ESC4枚举和利用

文章总结: ADCS-ESC4攻击通过修改证书模板属性(如授予注册权限、禁用审批标志、启用自定义主体名称等),将安全模板转化为具备ESC1漏洞的模板,从而允许攻
评论:0   参与:  0