Come vengono testati i validatori Token Web JSON?

5

I Token Web JSON (JWT) sono un metodo aperto standard per la rappresentazione sicura dei reclami tra due parti. Ci sono numerose implementazioni per la verifica di JWT, ma sembra che ogni autore stia testando la sua implementazione da solo. Sarebbe bello se ci fosse uno strumento o un fuzzer per verificare che una determinata implementazione sia conforme allo standard ed è sicura. Un punto di partenza potrebbe essere il RFC 7520 documento che descrive i vettori fuzz ed esempi per il test fuzz.

Esiste già un tale strumento?

O le persone stanno testando JWT in un altro modo?

    
posta dzieciou 18.02.2016 - 12:42
fonte

1 risposta

2

Ho rilasciato una libreria Fuzzing JWT Python 2/3: JWTFuzz link

Non è uno strumento completo come richiesto, ma può generare migliaia di fuzzate / inusuali di JWT basate su un determinato campione. Li firmerà anche correttamente se gli dai la chiave privata giusta.

L'output può essere facilmente inserito in curl o qualsiasi altro strumento personalizzato che possa aiutare a testare la solidità dell'implementazione JWT o dell'applicazione che utilizza utilizzando JWT per l'autenticazione.

    
risposta data 04.12.2017 - 23:07
fonte

Leggi altre domande sui tag