Премиум

В чем особенность JWT токена с точки зрения тестирования?

Тип вопроса: API тестирование Вероятность: 24% Категория: AQA / Automation

Ответ

Для тестировщика ключевые особенности JWT (JSON Web Token) связаны с его структурой, способом проверки и типичными уязвимостями.

Особенности, важные для тестирования:

  1. Самодостаточность (Stateless): Серверу не нужно хранить токен в сессии. Он проверяет его подпись и декодирует данные из payload. Тесты должны проверять, что сервер корректно валидирует подпись, а не доверяет данным из незашифрованной части токена.
  2. Структура из трех частей: Header.Payload.Signature. Полезная нагрузка (Payload) в кодировке Base64Url может быть легко просмотрена, но не должна содержать конфиденциальных данных.
  3. Проверка подписи: Безопасность зависит от алгоритма подписи (например, HS256, RS256). Неправильная реализация на стороне сервера — частый источник уязвимостей.

Типичные сценарии тестирования безопасности JWT:

  • Подмена алгоритма подписи (alg: none): Попытка отправить токен с алгоритмом none, чтобы обойти проверку подписи.
  • Подбор ключа подписи (HS256): Для симметричных алгоритмов, если секрет слабый или утечек.
  • Просроченные токены: Проверка, что токены с истекшим сроком (exp) отклоняются.
  • Неверная аудитория (aud): Проверка, что токен, выданный для одного сервиса, не принимается другим.

Пример проверки в тестах (используя инструменты вроде Burp Suite или Postman):

  1. Декодируйте токен на сайте вроде jwt.io, чтобы увидеть его содержимое.
  2. Попробуйте изменить payload (например, поле role с user на admin), не меняя подпись, и отправить запрос — сервер должен отвергнуть такой токен.
  3. Проверьте реакцию API на просроченный, поврежденный или отсутствующий токен (ожидаются коды ответа 401 или 403).

Ответ 18+ 🔞

А, слушай, вот тебе как тестировщику про JWT расскажу, чтобы ты не накосячил. Это ж, бля, не просто какая-то строка, это целая история с подвохом, как будто тебе дали ключ от квартиры, но он может оказаться от сейфа, если ты его неправильно повернёшь.

Что тебе, чувак, в первую очередь в голове держать надо:

  1. Он сам по себе боец (Stateless). Сервер его не помнит, как пьяный дед вчерашний день. Он просто берёт токен, смотрит на подпись и думает: «А не пиздит ли он?». Твоя задача — проверить, что сервер эту подпись реально проверяет, а не верит, как последний лох, всему, что в открытую часть токена написали. Доверия ебать ноль должно быть по умолчанию.
  2. Три куска, как у плохого анекдота: Заголовок.Полезная_нагрузка.Подпись. Полезную нагрузку (Payload) любой дурак может посмотреть — она просто в base64 закодирована. Так что если там пароль или номер карты лежит — это уже пиздец и провал разработчиков. Но ты всё равно смотри.
  3. Вся магия — в подписи. Без неё это просто бумажка. Алгоритмы там разные (HS256, RS256), и если их на сервере криво приняли, то это хитрая жопа, в которую надо тыкать палкой.

На что ловить, то есть типичные сценарии для тестов:

  • «Алгоритм? Да никакой!» (alg: none). Самый классический трюк. Пытаешься отправить токен, где в заголовке написано "alg": "none". Если сервер его принимает и говорит «проходи, дорогой» — всё, накрылся медным тазом их механизм безопасности. Сервер должен послать такой токен нахуй сразу.
  • Подбор ключа (для HS256). Если алгоритм симметричный (один ключ и для подписи, и для проверки), а ключ — что-то вроде "secret123", то это просто манда с ушами. Пробуй брутфорсить, если, конечно, не боишься сраных WAF'ов.
  • Токен-пенсионер. Смотри поле exp (expiration time). Берёшь старый, просроченный токен и пытаешься им что-то получить. Система должна тебе вежливо, но твёрдо сказать: «Извини, дружок, срок годности вышел», с кодом 401.
  • Токен не по адресу. Есть поле aud (audience) — для кого токен выписан. Выдерни токен, выданный для сервиса «А», и сунь его в запросы к сервису «Б». Правильный сервис «Б» должен морщиться и отвечать: «Ты че, больной? Я тебя не звал».

Как это на практике делается (типа краткая инструкция):

  1. Ловишь где-нибудь в Burp Suite или браузерном DevTools свой JWT токен после логина.
  2. Идёшь на сайт типа jwt.io, вставляешь его туда и смотришь, что внутри. Удивление пиздец иногда бывает, что там разработчики наотлаживали.
  3. Э, бошка, думай! Пробуешь самую простую атаку: в той же полезной нагрузке меняешь, например, "role": "user" на "role": "admin". Подпись при этом, естественно, становится невалидной. Отправляешь запрос с этим испорченным токеном. Если сервер тебя пускает в админку — это полный пиздопроёб, можно писать баг-репорт и идти пить кофе, работа сделана.
  4. Обязательно проверь краевые случаи: что будет, если токен вообще не отправить, отправить пустую строку, отправить рандомный набор букв или битый. Ожидаемо должны быть 401/403 ошибки, а не падение сервера с ёперным театром в логах.

Короче, суть в том, чтобы постоянно проверять: а тот ли ключ в той ли скважине? Потому что если доверять всему подряд, то получится хуй с горы, а не безопасность.

Видео-ответы

© ХакСобесов, 2026
support@hacksobesov.com