其功能包括：

• 检查令牌的有效性

• 测试已知漏洞：

• (CVE-2015-2951) alg=none签名绕过漏洞

• （CVE-2016-10555）RS / HS256公钥不匹配漏洞

• (CVE-2018-0114)密钥注入漏洞

• (CVE-2019-20933/CVE-2020-28637)空白密码漏洞

• (CVE-2020-28042)空签名漏洞

• 扫描错误配置或已知弱点

• 模糊声明值以引发意外行为

• 测试机密/密钥文件/公共密钥/ JWKS密钥的有效性

• 通过高速字典攻击识别弱键

• 伪造新的令牌标头和有效载荷内容，并使用密钥或通过其他攻击方法创建新签名

• 时间戳篡改

• RSA 和 ECDSA 密钥生成和重建（来自 JWKS 文件）

要求

        该工具是使用通用库在Python 3（版本3.6+）中原生编写的，但是各种加密功能（以及一般的美感/可读性）确实需要安装一些通用的Python库。

安装

        安装只是下载jwt_tool.py文件（或git clonerepo）的一种情况。
（chmod如果您想将它添加到$PATH并从任何地方调用它，该文件也是如此。）

$ git clone https://github.com/ticarpi/jwt_tool$ python3 -m pip install termcolor cprint pycryptodomex requests

        首次运行时，该工具将生成一个配置文件、一些实用程序文件、日志文件以及一组各种格式的公钥和私钥。

项目地址：

https://github.com/ticarpi/jwt_tool

侵权请私聊公众号删文

推荐阅读   

【入门教程】常见的Web漏洞--XSS

【入门教程】常见的Web漏洞--SQL注入

sql注入--入门到进阶

短信验证码安全常见逻辑漏洞

最全常见Web安全漏洞总结及推荐解决方案

常见的Web应用的漏洞总结（原理、危害、防御）

代码审计常见漏洞总结

Web安全漏洞的靶场演示

13 款 Linux 比较实用的工具

xss攻击、绕过最全总结

   学习更多技术，关注我：   

觉得文章不错给点个‘再看’吧