JSON Web Tokens (JWTs) são um método aberto e padrão para representar as reivindicações de maneira segura entre duas partes. Existem numerosas implementações para verificação da JWT, mas parece que cada autor está testando sua implementação por conta própria. Seria ótimo se houvesse uma ferramenta ou fuzzer para verificar se uma determinada implementação é compatível com o padrão e se é segura. Um ponto de partida pode ser o documento RFC 7520 que descreve vetores fuzz e exemplos para teste fuzz.
Já existe essa ferramenta?
Ou as pessoas estão testando o JWT de outra maneira?
Eu disponibilizei uma biblioteca fuzzing Python 2/3 JWT: JWTFuzz ligação
Não é uma ferramenta completa explodido como você pediu, mas pode gerar milhares fuzzed / incomuns de JWTs baseados fora de uma dada amostra. Ele irá até assiná-los corretamente se você der a chave privada correta.
A saída pode ser facilmente alimentado em onda ou qualquer outra ferramenta personalizada que possa ajudar a testar a robustez da sua implementação JWT ou aplicativo que é usando JWTs para autenticação.