JWT Analyzer
Decodifica e analisi di sicurezza per token JSON Web Token (JWT). Risk scoring algoritmico su algoritmo, scadenza, alg=none, kid injection. 100% client-side: il token non lascia il browser.
Avviso: Questo tool NON verifica la firma crittografica. La firma autentica richiede la chiave segreta o il certificato pubblico del server emittente. Usare una libreria server-side (es. jsonwebtoken, java-jwt, PyJWT) per la verifica completa.
Token JWT
Il token deve avere 3 parti separate da punto. Solo base64url - nessun dato inviato a server.
Sicurezza JWT: risorse accademiche e standard
JWT (RFC 7519) e' uno standard ampiamente usato ma con pattern vulnerabili documentati. Questo tool segue le linee guida OWASP Top 10 e la ricerca in ambito autenticazione web.
Vulnerabilita' note
- alg=none - Consente token senza firma. Documentata da Auth0 (2015) e inclusa nell'OWASP Top 10 A02 Cryptographic Failures.
- HMAC vs RSA confusion - Una libreria che accetta HS256 al posto di RS256 puo' essere ingannata usando la chiave pubblica RSA come segreto HMAC.
- kid injection - Il campo
kid(Key ID) se non sanificato puo' essere usato per path traversal o SQL injection nella selezione della chiave. - Nessun claim exp - Token senza scadenza non possono essere revocati senza blacklist esplicita.
Percorsi universitari - Sicurezza Informatica
- Sapienza - CyberChallenge.IT 2025 - Primo classificato nazionale 2025. Percorso sicurezza informatica top in Italia.
- UniBa - Sede del CINI Cybersecurity National Lab (laboratorio nazionale CINI dedicato alla ricerca in sicurezza informatica, reti e crittografia applicata). Secondo classificato CyberChallenge.IT 2025.
Approfondisci con la serie UniAppunti / Sicurezza Informatica - autenticazione, crittografia, PKI, OAuth 2.0 e JWT in profondita'.