AutoJWT Tool 제작

portswigger의 "JWT attacks"를 보고 JWT Attack에 대해 공부하고 느낀점을 토대로 AutoJWT 툴을 제작해보았습니다!

JWT attacks | Web Security Academy

 

JWT attack은 크게 5가지로 분류할 수 있습니다.

1. none algorithm

2. unverified signature

3. weak secret key

4. JWT header parameter injections

5. algorithm confusion

 

AutoJWT 제작 배경

5가지 공격을 하기 위해선 공개키, 비밀키 쌍을 새로 만들어줘야 하거나, 키를 서버에 배포해야하는 경우도 있습니다. 이를 매 사이트 점검할 때마다 일일이 작업하기엔 비효율적이라고 생각이 들어 자동화 도구를 만들어보기로 했습니다.

이미 CLI 형태로 만들어진 도구도 있지만 GUI 환경으로 누구나 쉽게 사용할 수 있고, 다양한 시나리오를 한번에 시도해볼 수 있는 도구를 제작해보고 싶었습니다.

 

 

---