看好你的门-验证机制被攻击(8)-证书或者敏感信息的分配
来源:互联网 发布:网络信息安全自查报告 编辑:程序博客网 时间:2024/05/20 23:34
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。
- 1、 简单说明
一些用户将新用户的证书或者其他的敏感信息,通过电子邮件或者邮寄的方式提供给用户。采用这种方式一般是为了让系统更加的安全。
但是如果操作不当,这种分配方式有时候会带来安全风险。
- 2、 常见的证书或者敏感信息分配中的问题
1、 分配证书的邮件中可能同时包含了用户名和密码,或者其他重要的验证信息;
2、 没有给邮件设置使用时间限制;
3、 虽然要求了用户第一次登陆的时候要修改密码,但是系统没有做相应的调整(很多用户并不会去注意这个问题);
4、 很多应用并不分配传统证书,而是提供一个“账户激活”或者“密码修改”的URL,用户通过这个URL进行初始化密码处理;如果发送给连续用户的URL表现出某种顺序或者规则,攻击者就可以注册几个紧密相联的用户确认顺序,并推断出其他的用户这这个URL的关系,并发动攻击;
5、 攻击者有可能尝试多次重复使用同一个激活URL,看应用程序是否运行;如果程序还是可运行的,那么这中间也存在可被攻击的漏洞;
0 0
- 看好你的门-验证机制被攻击(8)-证书或者敏感信息的分配
- 看好你的门-验证机制被攻击(10)-不够安全的敏感信息存储
- 看好你的门-确保验证机制的安全(1)-使用可靠的敏感信息
- 看好你的门-确保验证机制的安全(1)-使用可靠的敏感信息
- 看好你的门-确保验证机制的安全(2)-安全处理敏感信息
- 看好你的门-确保验证机制的安全(2)-安全处理敏感信息
- 看好你的门-验证机制被攻击(1)-保密性不强的密码
- 看好你的门-验证机制被攻击(3)-智能化的蛮力攻击登陆
- 看好你的门-验证机制被攻击(5)-“记住我”功能的常见漏洞
- 看好你的门-验证机制被攻击(7)-可预测的用户名和密码
- 看好你的门-验证机制被攻击(9)-不严谨的异常处理
- 看好你的门-验证机制被攻击(2)-JAVA蛮力攻击登陆
- 看好你的门-验证机制被攻击(4)-密码修改、重置功能常见漏洞
- 看好你的门-验证机制被攻击(6)-用户角色变更系统漏洞
- 看好你的门-验证机制被攻击(1)附录-中国人可能最常用账号情况
- 看好你的门-确保验证机制的安全(3)-正确处理验证信息
- 看好你的门-确保验证机制的安全(3)-正确处理验证信息
- 看好你的门-攻击服务端(3)-SOAP注入攻击
- MYSQL错误Too many connections
- OC的弱语法、类方法、继承
- 数据挖掘150道试题 测测你的专业能力过关吗?
- 看好你的门-验证机制被攻击(7)-可预测的用户名和密码
- 处理WM_MOUSELEAVE和WM_MOUSEHOVER
- 看好你的门-验证机制被攻击(8)-证书或者敏感信息的分配
- js实用表单模糊搜索和自动提示插件
- Unity多屏研究
- 【LeetCode】递归和非递归的区别
- 网站被黑,打开网页自动下载文件
- c++队列
- adt新建项目出现appcompat_v7依赖的解决办法
- 通过Cell的UIButton获取UITableViewCell的行数
- 用yum查询想安装的软件/安装路径