二维码登录的安全风险
作者:邹阳 | 发表于:2016-04-17 21:19:03
阅读量:(231) | 所属栏目:安全
1. 无行为确认
用户扫描二维码后,系统需提示用户检验二维码的行为。若无确认,用户扫描攻击者的登录二维码后,相当于给攻击者的票授权
2. CSRF漏洞伪造授权请求
给票据授权的请求如果是http的,并且可以被攻击者伪造。攻击者可以伪造请求让用户扫描二维码后执行,或让用户以其他形式对攻击者的票据进行授权
一些二维码的授权请求按理说应该只在app端有效,但大多案例中,此请求在web站登陆状态下也是有效,增大了攻击面
修复方案
用户扫描二维码后,系统需提示用户检验二维码的行为,告知风险,询问用户是否要执行操作
用户确认后的请求攻击者无法伪造,比如和用户身份相关的一个校验token
二维码的授权请求在web登陆状态下不可用,甚至可以使用非http协议,可以减少很多的攻击面
用户扫描二维码后,系统需提示用户检验二维码的行为。若无确认,用户扫描攻击者的登录二维码后,相当于给攻击者的票授权
2. CSRF漏洞伪造授权请求
给票据授权的请求如果是http的,并且可以被攻击者伪造。攻击者可以伪造请求让用户扫描二维码后执行,或让用户以其他形式对攻击者的票据进行授权
一些二维码的授权请求按理说应该只在app端有效,但大多案例中,此请求在web站登陆状态下也是有效,增大了攻击面
修复方案
用户扫描二维码后,系统需提示用户检验二维码的行为,告知风险,询问用户是否要执行操作
用户确认后的请求攻击者无法伪造,比如和用户身份相关的一个校验token
二维码的授权请求在web登陆状态下不可用,甚至可以使用非http协议,可以减少很多的攻击面