差点被忽略的注册漏洞:追踪弱认证链接
我正要关闭标签页时注意到了它。这家金融科技初创公司发送的密码重置邮件使用了http://而不是https://。乍看之下似乎无关紧要——直到我意识到攻击者只需通过这个不安全链接中的重置令牌就能接管任何账户。这个"低严重性"的发现变成了认证系统在最基础层面失效的关键证明。
当HTTPS成为可选项:验证链接问题
许多开发者认为只要登录页面使用HTTPS,他们的整个应用程序就是安全的。但他们发送的邮件却讲述了不同的故事。
实际影响:
在一个流行的生产力应用中,我发现账户验证链接是通过HTTP发送的。流程如下:
- 用户在https://app.com/signup注册
- 应用发送验证邮件,链接为:http://app.com/verify?token=abc123
- 用户点击链接后自动登录
漏洞在哪里?任何拦截该邮件的人(在公共Wi-Fi、被入侵的电子邮件账户或恶意ISP上)都可以捕获令牌并劫持账户…
创建账户以阅读完整故事
作者仅向Medium会员开放此故事。
如果你是Medium新用户,可以创建新账户免费阅读此故事。