目录 0x00 前言 0x01 JWT 介绍 1、什么是 JWT 2、两种身份验证方式的比较 3、JWT 的组成三个部分 4、JWT 的流量特征识别 0x02 JWT 漏洞利用 1、空加密算法（Header 中加密算法为 None） 2、暴力破解密钥 3、源码泄露私钥（JWT中私钥用于签名，公钥用于验证） 4、密钥混淆攻击（RS256 => HS256） 0x03

本文由Tahir所写，转载请注明出处：https://blog.csdn.net/Tahir_111，本文仅以学习交流为目的。 【信息收集】 一、测试对象 攻击机：kali-linux-2017.3-vm-amd64 IP：10.10.10.130 靶机：OWASP Broken Web Apps v0.94 IP：10.10.10.129 二、测试工具 工具名称 描述 1.