ProjetsJWT Attack
Cybersécurité2025
JWT Attack
Toolkit
Colle un token JWT, indique l'endpoint. 12 vecteurs d'attaque testés en parallèle, rapport en 30 secondes.
jwt-attack-toolkit — scan results
Token JWT
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Header
{
"alg": "HS256",
"typ": "JWT"
}Payload
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}Signature
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
Résultats du scan — 12 tests3 vulnérabilités
None AlgorithmLe serveur accepte alg: noneCRITICAL
Key Confusion RS256→HS256Algorithme vérifié côté serveur
Brute Force SecretSecret trouvé: 'secret123'HIGH
Expiration CheckToken expiré acceptéMEDIUM
Claims Tampering (sub)Ownership vérifié
Claims Tampering (role)Rôle vérifié côté serveur
JWK InjectionHeader JWK ignoré
JKU InjectionHeader JKU ignoré
Kid InjectionPas de paramètre kid
Token ReplayPas de blacklist détectéeINFO
Vecteurs
12 attaques testées automatiquement
None Algorithm
Change l'algorithme en 'none' et supprime la signature. Si le serveur accepte, c'est game over.
Key Confusion
Force HS256 sur un endpoint RS256 et signe avec la clé publique du serveur.
Brute Force Secret
Teste 50k secrets courants. 40% des apps ont un secret qui tombe en moins de 5 minutes.
Claims Tampering
Modifie sub, role, admin pour tester l'escalade de privilèges via JWT.
JWK/JKU Injection
Injecte une clé publique custom dans le header pour forger des signatures valides.
Token Replay
Vérifie si un token révoqué après logout est toujours accepté par le serveur.
12
Vecteurs d'attaque
30s
Temps de scan
9/15
Audits avec faille JWT
0
Données envoyées serveur
Stack
100% côté client
TypeScriptReactWeb WorkersWeb Crypto APIJWT
Testez vos JWT maintenant
Aucun token n'est envoyé à un serveur. Tout tourne dans votre navigateur.