Security Toolkit

JWT Security Analyzer

Analyse, Prüfung und Test von JSON Web Tokens mit Decoder, Checks, Payloads, Validator und Replay-Werkzeugen.

Download Quellcode

JWT Security Analyzer

JWTs analysieren, angreifen und absichern.

Decoder und Encoder

Tokens decodieren, Header, Payload und Signatur prüfen, Claims auswerten und eigene Tokens signieren.

Mehr als 50 Prüfungen

Vollständige Sicherheitsanalyse zu Algorithmen, Claims, Signaturen, sensiblen Daten und RFC-Konformität auf einer 100-Punkte-Skala mit Schweregrad-Klassifizierung.

22 Angriffspayloads

Algorithm-None, Algorithmus-Verwechslung (RS256 zu HS256), JWK-Injection, Kid-Parameter-Injection, JKU- und X5U-Hijacking, JWT-Smuggling, verschachtelte Tokens, Replay, Timing-Angriffe und JWKS-Cache-Poisoning.

Aktuelle CVE-Abdeckung

CVE-2024-54150 (ECDSA Psychic Signature), CVE-2024-34273 (nJwt Prototype Pollution), CVE-2025-20188 (hartkodiertes JWT-Secret, CVSS 10.0) und CVE-2025-30144 (Issuer-Bypass in fast-jwt).

Proxy mit SSL/TLS-Interception

HTTP/HTTPS-Proxy auf 127.0.0.1:8080 mit automatisch erzeugten CA-Zertifikaten, Live-Traffic-Capture und automatischer JWT-Erkennung.

Algorithmen und Schlüssel

HS256, HS384, HS512, RS256, RS384, RS512 sowie die "none"-Algorithmus-Variante. RSA-Schlüsselpaare und HMAC-Secret-Tests für Brute-Force, Side-by-Side-Diff und Base64-URL-Werkzeuge.

Technische Details

Tiefe statt Tempo. Nachvollziehbar bis zur Signatur.

Der JWT Security Analyzer prüfe Tokens in der Tiefe, simuliere konkrete Angriffe und dokumentiere Befunde nachvollziehbar für Reviews und Audits.

Algorithmen

  • HS256, HS384, HS512 (HMAC)
  • RS256, RS384, RS512 (RSA)
  • "none" als Testfall

Angriffspayloads (22)

  • alg=none, Algorithmus-Verwechslung (RS256 zu HS256)
  • JWK-Injection, Kid-Parameter-Injection
  • JKU- und X5U-Hijacking
  • JWT-Smuggling, verschachtelte Tokens
  • Replay, Timing-Angriffe, JWKS-Cache-Poisoning

CVE-Abdeckung 2024 bis 2025

  • CVE-2024-54150 (ECDSA Psychic Signature)
  • CVE-2024-34273 (nJwt Prototype Pollution)
  • CVE-2025-20188 (hartkodiertes JWT-Secret, CVSS 10.0)
  • CVE-2025-30144 (Issuer-Bypass in fast-jwt)

Sicherheitsanalyse

  • Mehr als 50 Prüfungen pro Token
  • 100-Punkte-Skala
  • Schweregrade Critical, High, Medium, Low
  • RFC-Konformitätsprüfung

Proxy und Interception

  • HTTP/HTTPS-Proxy auf 127.0.0.1:8080
  • SSL/TLS-Interception über automatisch erzeugte CA-Zertifikate
  • Live-Traffic-Capture mit JWT-Erkennung
  • Eigene Requests, Replay-Simulation und Antwortanalyse

Schlüssel und Werkzeuge

  • RSA-Schlüsselpaare, HMAC-Secret-Tests
  • Brute-Force für HMAC-Geheimnisse
  • Side-by-Side-Diff mit Sicherheitswirkung
  • Base64-URL-Werkzeuge