“差点被忽略的注册漏洞:追踪弱认证链接”
我正准备关闭标签页时注意到了它。那家金融科技初创公司发送的密码重置邮件使用的是http://而不是https://。乍看之下似乎无关紧要——直到我意识到,攻击者只需要那个不安全链接中的重置令牌就能接管任何账户。这个“低严重性”的发现变成了认证系统在最基础层面失效的关键证明。
当HTTPS成为可选项:验证链接问题
许多开发者认为,只要登录页面使用HTTPS,他们的整个应用程序就是安全的。但他们发送的邮件却讲述了不同的故事。
实际影响:
在一个流行的生产力应用中,我发现账户验证链接是通过HTTP发送的。流程如下:
- 用户在https://app.com/signup注册
- 应用发送包含链接的验证邮件:http://app.com/verify?token=abc123
- 用户点击链接并自动登录
漏洞在哪里?任何拦截该邮件的人(在公共Wi-Fi、被入侵的电子邮件账户或恶意ISP上)都可以捕获令牌并劫持账户……
创建账户以阅读完整故事。作者仅向Medium会员开放此故事。
如果你是新用户,请创建新账户免费阅读此故事。