-1

ハッカーが次のことをどのように行っていると思いますか? また、どのように防止しますか (役立つリンク、キーワード、または状況の評価を探します)?

彼らは、ユーザーが登録して招待メールを受け取ることができる Web サイトです。招待リンク (https) にはトークンが含まれています。「 https://www.example.com/token/123456 」のようになります(123456 はトークンです)。

私のユーザーがこのリンクをクリックした翌日、他の誰かが同じリンクを使用しているようです。

これはどのように可能であり、この種のハッキングをどのように防ぐことができますか?

ありがとう

編集:申し訳ありませんが、もっと情報を提供する必要がありました。単なるランダムなトークンのバリエーションの試みではないという意見は排除できます。なんで?正確なトークンは、ユーザーの 1 人がリンクを使用した翌日に使用されます。トークンは 20 文字を超えるハッシュ トークンです。

4

2 に答える 2

0

適用する単純なロジックは次のようになります。

  1. 文字列パターンを定義します。のように: secretconstant%email
  2. 文字列をハッシュすると、トークンが得られます(そして保存されます)
  3. トークンを使用して招待 URL を作成します

誰かがランダム トークンを使用してサービスを呼び出した場合、情報システムがそのトークンを保存していないため、それらを拒否できます。次に、トークンを持っている場合は、それを破棄して、リンクが無効になるようにする必要があります。

登録に使用された電子メールがトークンの計算に使用されたものと同じであるかどうかも確認できます..したがって、登録をブロックすることができます!

于 2015-02-24T12:37:38.263 に答える
0

スクリプトを実行して、トークン値の任意の数値を試すことができます。

それは簡単です。あなたのトークンはどのくらいですか?自動処理を制限するために、単純な数値ではなくハッシュトークンを使用することもお勧めします。「ハック」は、数値を試して結果を取得し、結果を保存してから、数値 = 数値 + 1; をスクリプト化することです。

編集: ハッキングされたという証拠はありますか? 誰かがトークン リンクをクリックすると、スクリプトで何が起こるでしょうか?

于 2015-02-24T12:22:07.693 に答える