电子邮件变更流程中的安全漏洞分析

本文详细分析了Hiro平台电子邮件变更流程中的安全漏洞,包括缺少原邮箱确认和密码验证环节,可能导致账户被恶意劫持的风险,并探讨了现有的安全防护措施。

电子邮件变更流程中的安全漏洞分析

报告详情

  • 报告ID: #268221
  • 报告标题: 电子邮件变更时无确认邮件
  • 报告者: craxermgr
  • 报告时间: 2017年9月14日 3:05 UTC
  • 报告对象: Hiro

漏洞描述

在将电子邮件地址从email1更改为email2的过程中,系统存在安全缺陷。确认邮件被发送到新邮箱email2,而不是原主账户邮箱email1。如果用户在使用公共计算机访问账户时仍保持登录状态,这可能导致账户丢失。

此外,在更改电子邮件地址时,系统未要求用户输入密码进行验证。

官方回应

a-hiro于2017年9月26日关闭了该报告,并将其状态标记为"信息性"。

回应内容: “我们使用正常的话语电子邮件变更流程——在email2确认地址变更后,系统会向email1发送电子邮件:

1
2
3

这是自动消息,通知您Blockstack论坛的电子邮件地址已更改。如果这是错误操作,请联系网站管理员。

您的电子邮件地址已更改为:

这确保了电子邮件变更不会在用户不知情的情况下发生。在发现异常时,我们的论坛管理员可以为用户恢复账户。

感谢您关注此问题——我将把此问题标记为信息性并关闭。”

后续处理

  • craxermgr于2017年10月20日请求披露此报告
  • rafaelcr(Hiro员工)于11天前同意披露此报告
  • 报告已于11天前被披露

技术细节

  • 严重程度: 低 (0.1 ~ 3.9)
  • 弱点类型: 信息泄露
  • CVE ID: 无
  • 赏金: 无
  • 状态: 已披露
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次