Salta al contenuto principale

JWT Analyzer

Decodifica e analisi di sicurezza per token JSON Web Token (JWT). Risk scoring algoritmico su algoritmo, scadenza, alg=none, kid injection. 100% client-side: il token non lascia il browser.

Avviso: Questo tool NON verifica la firma crittografica. La firma autentica richiede la chiave segreta o il certificato pubblico del server emittente. Usare una libreria server-side (es. jsonwebtoken, java-jwt, PyJWT) per la verifica completa.

Token JWT

Il token deve avere 3 parti separate da punto. Solo base64url - nessun dato inviato a server.

Sicurezza JWT: risorse accademiche e standard

JWT (RFC 7519) e' uno standard ampiamente usato ma con pattern vulnerabili documentati. Questo tool segue le linee guida OWASP Top 10 e la ricerca in ambito autenticazione web.

Vulnerabilita' note

  • alg=none - Consente token senza firma. Documentata da Auth0 (2015) e inclusa nell'OWASP Top 10 A02 Cryptographic Failures.
  • HMAC vs RSA confusion - Una libreria che accetta HS256 al posto di RS256 puo' essere ingannata usando la chiave pubblica RSA come segreto HMAC.
  • kid injection - Il campo kid (Key ID) se non sanificato puo' essere usato per path traversal o SQL injection nella selezione della chiave.
  • Nessun claim exp - Token senza scadenza non possono essere revocati senza blacklist esplicita.

Percorsi universitari - Sicurezza Informatica

  • Sapienza - CyberChallenge.IT 2025 - Primo classificato nazionale 2025. Percorso sicurezza informatica top in Italia.
  • UniBa - Sede del CINI Cybersecurity National Lab (laboratorio nazionale CINI dedicato alla ricerca in sicurezza informatica, reti e crittografia applicata). Secondo classificato CyberChallenge.IT 2025.

Approfondisci con la serie UniAppunti / Sicurezza Informatica - autenticazione, crittografia, PKI, OAuth 2.0 e JWT in profondita'.

Nuovi tool sicurezza e articoli UniAppunti

Aggiornamenti su dev-tools di sicurezza, OWASP, crittografia applicata.