当前位置:WooYun(白帽子技术社区) >> 验证码 >> 密码找回功能绕过
最近乌云爆了很多密码找回功能缺陷,自己在前端时间刚好也研究到这个功能的缺陷,今天跟大家一起分享下这个机制问题
首先我们应该了解找回密码功能一般的方式
很多web中找回密码只需填写注册账号和邮箱,有些只填写账号(这就让黑客有机可乘了),只要符合账号存在,邮箱绑定账号确认邮箱,就会向服务器发送这个功能激活,为了用户更好的体验和简单操作,web中可能大多数会 只要点击这个邮件里的链接就会到密码修改那个功能上。
这里就出现一个问题:
邮件链接的地址 是不是有规律性(可以按照类似方式构造)或者验证的标准是不是合理
在很多的web中考虑安全性会加入一个随机码,和用户名一起插入到数据库,所以可以再这个随机码上做文章,有些web中,会以服务器的时间做随机码
修复方案:随机码应该做成不容易发掘,或者加密窜采用动态密钥加密(这样就是别人知道这个随机码的规则也计算不出验证码的值就无法构造 )
添加新回复
登录 后才能参与评论.
其它内容
- 暂无