Trabajar con JWT en Burp Suite

PROFESIONAL

Los tokens web JSON (JWT) son un formato estándar para enviar datos JSON firmados criptográficamente entre sistemas. Suelen utilizarse en mecanismos de autenticación, gestión de sesiones y control de acceso. Esto significa que si un atacante modifica con éxito un JWT, es posible que pueda elevar sus propios privilegios o hacerse pasar por otros usuarios.

Puede usar Burp Inspector para ver y decodificar JWT. A continuación, puede utilizar la extensión JWT Editor para:

1. Generar claves de firma criptográfica.
2. Edite el JWT.
3. Renuncie al token con una firma válida que coincida con el JWT modificado.

Puede seguir el proceso a continuación utilizando nuestra Omisión de autenticación JWT a través de Weak Signing Key Lab.

Antes de comenzar

Instale la extensión del editor JWT. Para obtener más información, consulte Instalar extensiones.

Visualización de JWT

1. Identifique una solicitud con un token JWT que desee investigar más a fondo. Busque las solicitudes resaltadas en
   Proxy > Historial HTTPestos son informados automáticamente por la extensión JWT Editor.

2. Para ver el contenido de JWT, resalte las secciones de fichas a su vez. Tenga en cuenta que el contenido se decodifica automáticamente en el Inspector firmar.

   
3. Revise el contenido del JWT en el Inspector panel, para identificar la información de interés y determinar los cambios que desea realizar.

Edición de JWT

Para editar un JWT usando la extensión JWT Editor:

1. Haga clic derecho en la solicitud con el JWT y seleccione Enviar a repetidor.
2. En el panel de solicitud, navegue hasta el Token web JSON lengua.
3. Modifique los datos JSON según se requiera en el En cabeza Y Carga útil campos.
4. Haga clic en Signo. Se abre un nuevo cuadro de diálogo.
5. En el cuadro de diálogo, seleccione la clave de firma adecuada y haga clic en CORRECTO. El JWT se vuelve a firmar para que coincida con los nuevos valores en el encabezado y la carga útil. Si no ha agregado una clave de firma, siga las instrucciones a continuación.

Agregar una clave de firma JWT

Para agregar una clave de firma a Burp usando la extensión JWT Editor:

1. Ve a la Teclas del editor JWT lengua.
2. Haga clic en el botón del tipo de clave que desea agregar. Por ejemplo, Nueva clave simétrica. Se abre un nuevo cuadro de diálogo.

3. En el cuadro de diálogo, agregue la nueva clave:

   • Haga clic en Generar para crear una nueva clave.
   • También puede pegar una clave existente en el cuadro de diálogo.
4. Modifique la clave según sea necesario.
5. Haga clic en CORRECTO para guardar la clave.