郑昀 创建于2014-01-12;
最后更新于2014-01-13.
找回密码功能是漏洞传统重灾区,下面列出两个经典错误点,请引以为戒吧Web开发工程师们!
- Web安全:
- 一)以为用户不会抓包不会看源码不会分析表单参数,HTML文档和表单里想写啥就写啥
- 1)某手网:
- +手机App的忘记密码功能:
- 首先,通过抓包分析,发现密码重置接口可以Web访问;其次,填入手机号码提交,服务器端的响应中居然包含明文短信验证码,虽然是在JavaScript中的注释里;
- 补充案例:绝非个案。如第三方支付平台支付通也干过,http://www.wooyun.org/bugs/wooyun-2010-022378;走秀网干过,http://www.wooyun.org/bugs/wooyun-2012-05630;
- 2)PPS:
- +网页版忘记密码功能:
- 贴心地实现了“重新发送找回密码邮件”功能;但是,不幸地在这个GET请求的URL里,目标email参数是明文的;从而可以将任意用户的密码重置邮件发给指定邮箱;
- 3)新网互联:
- +网页版忘记密码功能:
- 页面虽然展示的是星号遮挡的邮箱地址,但HTML文档构造的表单参数里却使用邮箱明文,最终导致土豆网域名被劫持;
- 4)搜狐:
- +网页版找回密码功能:
- 找回密码时要回答“密码提示问题”;但是工程师把答案明文写在 textarea 控件的JS校验函数里了,导致可以重置任意搜狐用户密码;
- 二)把MD5(key)加密当成神器,殊不知在MD5爆破库面前等于说明文传递
- 1)奇虎360:
- +网页版找回密码功能:
- 360的找回密码邮件里,重设密码地址格式为:http://i.360.cn/findpwd/setpwdfromemail?vc=%一个MD5加密串%&u=blabla%40gmail.com;
- 利用MD5爆破库逆向解密后发现,这个MD5加密串是一个类似于1339744000的数字,很像是UNIX时间戳;
- 白帽子进一步验证后猜测,用户找回密码时,系统将此时的UNIX时间戳,与帐号绑定,记录在密码重置队列里,修改该用户的密码时会验证输入的vc参数;
- 看似合理,但360工程师忽略了一个细节:假如这个时间戳是新生成的,攻击者就能在一定时间段内进行暴力破解,给定任意邮箱,很快就能算出一个有效的重置密码链接;
- 2)某牛网:
- +注册激活邮件功能:
- 注册某牛网后,系统发的注册邮件里,激活URL里id参数实际上是用户的userid,str参数则是MD5(id)加密串,如下图所示;
- 这样能注册任意邮箱并激活,或遍历所有整数id激活;
- 补充案例:绝非个案。中国邮政旗下某站点的找回密码也这么销魂过,http://www.wooyun.org/bugs/wooyun-2013-039383;
参考资源:
1,2011,陈皓,你会做Web上的用户登录功能吗?;
2,2013,乌云知识库,密码找回功能可能存在的问题;
3,2013,郑昀,Web开发基本准则-55实录-Web访问安全。
-over-
马年继续赠图几枚:
不要在地毯上刹车啊
让老板以为你在上班的神器:http://targetkiller.net/hackertyper/index.html
通 病啊通病:『据一位腾讯电商的前产品经理透露,腾讯电商的产品经理、工程师更执着于测试网购流程、响应速度等,希望能够减少步骤提升体验,却忽略了需要 更强大技术支持的供应链、物流等业务体系。』注意力过于集中于C而不是B和I——《腾讯电商门前摔了一跤:“QQ+”模式失效http://t.cn/8FhPSQv》
相关推荐
内容概要:凯撒密码的加解密函数,...适用人群:适用于刚开始学习密码的小伙伴们 使用场景及目标:适用于密码初学者,以及MATLAB初学者练手 % 加密的公式为:c = m + key(mod 26) % 解密的公式为:m = c - key(mod 26)
适合人群:备考软考-系统架构师的小伙伴们 能学到什么:更有针对性的准备系统架构师考试 阅读建议:按照视频的顺序一个个视频的进行学习,首先学习考试简介,接着学习信息系统基础,操作系统,计算机网络等等。 ...
元旦倒计时代码,快到元旦啦,喜欢的小伙伴们直接拿去用吧,html专属元旦倒计时代码,快到元旦啦,喜欢的小伙伴们直接拿去用吧,html专属元旦倒计时代码,快到元旦啦,喜欢的小伙伴们直接拿去用吧,html专属元旦倒...
《“我和小伙伴们都惊呆了”:源自语文与网络文化的交融》 “我和小伙伴们都惊呆了”,这句网络流行语已经成为人们表达惊讶、震惊或讽刺的常用表达,它的源头可以追溯到一次语文教育与网络文化的有趣碰撞。2013年6...
找回密码功能是许多在线应用和服务中不可或缺的部分,它允许用户在忘记密码时通过一系列验证步骤重新获得账户访问权限。通常,这个过程可能包括回答安全问题、提供注册邮箱或手机号接收验证码,以及创建新的登录密码...
需要的小伙伴们可以记一下,ie8快捷键都有那些需要的小伙伴们可以记一下。
- 合作伙伴:寻找与社区主题相关的合作伙伴,共同提供有价值的内容和服务,提升用户粘性。 - 内容策略:定期更新高质量内容,吸引和保持用户关注。 - 营销推广:运用SEO、社交媒体营销、电子邮件营销等方式增加...
磁土小伙伴们一起攻克英语!
感谢各位小伙伴们一直以来对原力计划的支持
李峋同款爱心特效,快给小伙伴们安排起来
阿里Yun OS和它的小伙伴们.docx
所以整理出来希望跟小伙伴们一起更新维护~作者Evi1cg 博客https://evi1cg.github.io目录目录信息搜集开源情报信息收集(OSINT)githubwhois查询/注册人反查/邮箱反查/相关资产谷歌黑客创建企业密码字典字典列表密码...
主要介绍了java web激活邮箱并找回密码,在项目中要实现用户注册的邮箱激活以及忘记密码重置密码功能,感兴趣的小伙伴们
【描述】"精品131套.zip,内容精美,欢迎小伙伴们下载收藏"进一步强调了这些模板的优质特性,并以友好和鼓励的方式邀请用户下载并保存这些资源。"欢迎小伙伴们下载收藏"意味着这些资源不仅实用,而且免费,可供用户...
下载后的小伙伴们先clean build再编译运行。报错的小伙伴大多是因为gradle版本、SDK版本等问题,改成自己相应的就可以了。这是老式的jni的开发,不涉及 CMakeList 文件,如果报NDK错误请配置自己的DNK路径,还有...
kafka笔记,记录从部署到底层原理各个方面 适合小伙伴们进行学习
你若安好 齐鲁银行及它的小伙伴们PPT教案学习.pptx
此书是数据库系统基础篇的高级篇,希望下载的小伙伴们喜欢。
炫酷特效代码集合,有需要的小伙伴们给点分 个人收藏的30多个前端案例,插件。炫酷特效代码集合,有需要的小伙伴们给点分 个人收藏的30多个前端案例,插件。炫酷特效代码集合,有需要的小伙伴们给点分
GBA牧场物语矿石镇的伙伴们攻略+金手指.docx 本文档提供了GBA牧场物语矿石镇的伙伴们攻略及金手指代码,旨在帮助游戏玩家快速升级和获取游戏内资源。下面是本文档中所包含的知识点: 1. 金钱代码:02004080:...