看好你的门-验证机制被攻击(8)-证书或者敏感信息的分配

首先需要声明，本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解，仅供用于web系统安全方面的参考。

• 1、 简单说明

一些用户将新用户的证书或者其他的敏感信息，通过电子邮件或者邮寄的方式提供给用户。采用这种方式一般是为了让系统更加的安全。
但是如果操作不当，这种分配方式有时候会带来安全风险。

• 2、 常见的证书或者敏感信息分配中的问题

1、 分配证书的邮件中可能同时包含了用户名和密码，或者其他重要的验证信息；
2、 没有给邮件设置使用时间限制；
3、 虽然要求了用户第一次登陆的时候要修改密码，但是系统没有做相应的调整（很多用户并不会去注意这个问题）;
4、 很多应用并不分配传统证书，而是提供一个“账户激活”或者“密码修改”的URL，用户通过这个URL进行初始化密码处理；如果发送给连续用户的URL表现出某种顺序或者规则，攻击者就可以注册几个紧密相联的用户确认顺序，并推断出其他的用户这这个URL的关系，并发动攻击；
5、 攻击者有可能尝试多次重复使用同一个激活URL，看应用程序是否运行；如果程序还是可运行的，那么这中间也存在可被攻击的漏洞；