Trabajar con JWT en Burp Suite
3 min readPROFESIONAL
Los tokens web JSON (JWT) son un formato estándar para enviar datos JSON firmados criptográficamente entre sistemas. Suelen utilizarse en mecanismos de autenticación, gestión de sesiones y control de acceso. Esto significa que si un atacante modifica con éxito un JWT, es posible que pueda elevar sus propios privilegios o hacerse pasar por otros usuarios.
Puede usar Burp Inspector para ver y decodificar JWT. A continuación, puede utilizar la extensión JWT Editor para:
- Generar claves de firma criptográfica.
- Edite el JWT.
- Renuncie al token con una firma válida que coincida con el JWT modificado.
Puede seguir el proceso a continuación utilizando nuestra Omisión de autenticación JWT a través de Weak Signing Key Lab.
Antes de comenzar
Instale la extensión del editor JWT. Para obtener más información, consulte Instalar extensiones.
Visualización de JWT
-
Identifique una solicitud con un token JWT que desee investigar más a fondo. Busque las solicitudes resaltadas en
Proxy > Historial HTTPestos son informados automáticamente por la extensión JWT Editor. -
Para ver el contenido de JWT, resalte las secciones de fichas a su vez. Tenga en cuenta que el contenido se decodifica automáticamente en el Inspector firmar.
- Revise el contenido del JWT en el Inspector panel, para identificar la información de interés y determinar los cambios que desea realizar.
Edición de JWT
Para editar un JWT usando la extensión JWT Editor:
- Haga clic derecho en la solicitud con el JWT y seleccione Enviar a repetidor.
- En el panel de solicitud, navegue hasta el Token web JSON lengua.
- Modifique los datos JSON según se requiera en el En cabeza Y Carga útil campos.
- Haga clic en Signo. Se abre un nuevo cuadro de diálogo.
- En el cuadro de diálogo, seleccione la clave de firma adecuada y haga clic en CORRECTO. El JWT se vuelve a firmar para que coincida con los nuevos valores en el encabezado y la carga útil. Si no ha agregado una clave de firma, siga las instrucciones a continuación.
Agregar una clave de firma JWT
Para agregar una clave de firma a Burp usando la extensión JWT Editor:
- Ve a la Teclas del editor JWT lengua.
- Haga clic en el botón del tipo de clave que desea agregar. Por ejemplo, Nueva clave simétrica. Se abre un nuevo cuadro de diálogo.
-
En el cuadro de diálogo, agregue la nueva clave:
- Haga clic en Generar para crear una nueva clave.
- También puede pegar una clave existente en el cuadro de diálogo.
- Modifique la clave según sea necesario.
- Haga clic en CORRECTO para guardar la clave.
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.