聊聊“密码找回” · WEB 安全

作者/分享人:汤青松
向 Ta 提问
汤青松,中国婚博会PHP高级工程师,DevlinkPHP大会讲师,擅长安全工具的研发及渗透测试实战操作。曾负责乌云众测的研发工作;网利宝的研发及安全建设工作。微信:songboy8888

大部分网站为了防止用户遗忘密码,提供了找回密码的功能。常见的找回密码方式有:邮箱找回密码、根据密码保护问题找回密码、根据手机号码找回密码等。虽然这些方式都可以找回密码,但实现方式各不相同。

其实无论是哪种密码找回方式,在找回密码时,除了自己的用户密码,如果还能找回其他用户的密码,就存在密码找回漏洞。密码找回漏洞在逻辑漏洞中占了的比例比较大。测试密码找回漏洞与其他逻辑漏洞的方法相同。其中必经的两个步骤是:熟悉业务流程(密码找回过程)与对流程中的 HTTP 请求分析。本场 Chat 分享会以一些互联网经典案例做讲解,具体内容包括:

  • 用户凭证暴力破解
  • 返回凭证
  • 邮箱弱 token
  • 用户凭证有效性
  • 重新绑定

实录摘要:

  • 密码找回怎么去利用到实战中,怎么去培养这样的思维?
  • 如果是腾讯 QQ 这种需要验证手机才能登录的账号,怎么办?
  • 通过撞库获取的账号密码是怎么一回事?
  • 找回密码时有个提示检测是否处在安全环境,其后面的逻辑是怎样的?
  • 密码找回,比较合理或者相对安全的实现思路是什么?
  • 除了这种逻辑漏洞,其他可能造成用户账户不安全的有哪些?
  • 遇到漏洞问题,请问这种情况下用户该怎么防范?
  • 找回密码这个功能要安全,有什么方法不被破解有代码分享或者文章也行?
  • 公众号对接的 Web APP 怎么实现记住密码?下次免登录吗?
已有643人预订
预订达标
文章出炉
交流日期
     
07月17日
08月01日
08月08日 20:30
查看文章评论/提问
Sirormy
密码上的漏洞多半是工程师逻辑不严谨,盲目地相信用户不可能这么干,他一定猜不到,猜到就完蛋。而且一部分用户还是同行,所以要做 code review。
_(:зゝ∠)_
看完文章,感觉自己的账户岌岌可危。想问问,作者都是用哪些工具来测试的?
汤青松: 逻辑型的漏洞用工具的地方比较少,主要是推理,上面提到的工具只有一个burp suite
若望夏雪
不错,多多学习
一步
前几天看你趣直播的视频直播了,感觉不错。就是只是讲了一下例子,原理。但是怎么去利用到实战中呢,怎么去培养这样的思维的?学会了也方便公司安全测试了
GitHub
那些通过撞库获取的账号密码是怎么一回事呢?
唐磊
一般 加密 token 设置有效期,验证码什么的也是只用一次。
Dracarys.
这些漏洞现在被修复了吗
YoGe
关键靠猜。
影逸
如果是腾讯qq这种需要验证手机才能登录的账号,怎么弄呢?(手机锁)
xring
提个问题:像淘宝,找回密码时有个提示 检测你是否处在安全环境,想了解一下这个后面的逻辑是怎样的
Johannisberg: 常用登陆ip
luo
都是刀刀见血的例子。能不能做下攻防转换,说一下密码找回,您认为比较合理或者相对安全的实现思路?
张大侠
老师在破解过程中运用到的技术倒不是很多,老师能够给出一套安全的找回密码或更换手机的逻辑流程吗?另外,现在账号这么多,不知道老师对单点登录怎么看,怎样对用户体验又好又安全呢?
Yang
请问微信的例子,为什么分别用phone和value两个字段传手机号呢?
寒韩
除了这种逻辑漏洞,其它可能造成用户账户不安全的有哪些啊?除了自我检查验证外有什么其它手段来验证自己接口的安全?
倾城志
这些漏洞就很尴尬了,请问老师,这种情况下用户该怎么防范呢?我们平时设计的时候需要注意哪些点?
Sirormy
以前完整的做过用户的功能开发,比较市面上的一些大公司的做法极其复杂,比如不能用以前用过的密码,好友验证帮助找回等,这背后需要复杂的数据结构来支撑。 提问: 老师您觉得,大小项目应该怎么把握用户帐户安全在开发层面的复杂程度?
本人艺名萧方玉
图片都显示不出来了,只有我一个有这个问题么?
汤青松: 现在能看见吗?
你可能还喜欢
Service Mesh 在华为公有云的实践
田晓亮
从零开始,搭建 AI 音箱 Alexa 语音服务
Mike
Web 安全恩仇录:再谈逻辑漏洞
肖志华
如何用 Vue 实现前端权限控制(路由权限 + 视图权限 + 请求权限)
雅X共赏
智能增长:如何用大数据和人工智能实现业务体量的增长
蒋凡
有关 Mock 的是是非非
思考的犀牛
微信扫描登录