Kostenlos
Open Internet Authentication Security Toolkit

JWT Security Analyzer

Open Source

JWT Security Analyzer

Funktionsübersicht

  • JWT-Decoder & -Encoder: Tokens decodieren, um Header, Payload und Signatur zu prüfen; eigene Tokens erstellen und signieren mit voller Algorithmus-Unterstützung (HS256/384/512, RS256/384/512, ES256/384/512, PS256/384/512, none).
  • Sicherheitsanalyse: Automatisierter Schwachstellen-Scanner mit über 50 Prüfungen zu Algorithmus-Schwächen, unsicheren Claims, Signaturproblemen, Offenlegung sensibler Daten, Injection-Mustern und RFC-Konformität – bewertet auf einer Skala von 0 bis 100.
  • Angriffsvektor-Generator: 22 Angriffspayloads, darunter Algorithm None, Algorithmus-Verwechslung (RS256→HS256), JWK-Injection, Kid-Parameter-Injection, JKU/X5U-Hijacking, JWT-Smuggling, Nested JWT, Replay, Timing Attack, JWKS-Cache-Poisoning sowie aktuelle CVEs (CVE-2024-54150, CVE-2024-34273, CVE-2025-20188, CVE-2025-30144).
  • Brute-Force-Tester: Wörterbuchbasierte HMAC-Secret-Erkennung mit anpassbaren Wortlisten, Echtzeit-Fortschrittsanzeige, Geschwindigkeitsmetriken sowie Pause-/Stopp-Funktionen.
  • Netzwerk-Proxy: HTTP/HTTPS-Intercepting-Proxy mit automatischer JWT-Erkennung in Headern, Cookies und Request-Bodies; SSL-/TLS-Entschlüsselung über automatisch generierte CA-Zertifikate; WebSocket-Unterstützung.
  • Token-Validator: Vollständige Signaturprüfung mit Secret-/Key-Eingabe, Algorithmus-Validierung, Claims-Prüfung und Ablaufkontrolle.
  • Replay-Angriff-Simulator: Sendet erfasste Tokens mehrfach mit konfigurierbarer Verzögerung, Methode und Wiederholungsanzahl; überwacht Response-Codes und Timing zur Erkennung von Schwachstellen.
  • HTTP-Request-Tester: Benutzerdefinierter Request-Builder (GET/POST/PUT/DELETE/PATCH) mit JWT-Platzierungsoptionen (Authorization-Header, benutzerdefinierter Header, Query-Parameter, Body) und vollständiger Response-Analyse.
  • Token-Vergleich: Side-by-Side-Diff von zwei JWT-Tokens mit Hervorhebung von Unterschieden in Header, Payload und Signatur inklusive Analyse der Sicherheitsauswirkungen.
  • Schlüsselgenerator: Kryptografisch sichere Erzeugung von HMAC-Secrets (8–256 Bit) sowie RSA-Schlüsselpaaren (1024–4096 Bit) im PEM-Format.
  • Base64-URL-Tools: Base64-URL-Kodierung und -Dekodierung nach RFC 4648.
  • Mehrsprachige Unterstützung (Deutsch/Englisch) mit automatischer Erkennung der Systemsprache.

Download (Windows)

Cookies
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.
Cookie-Details