加载中…

加载中...

扫描二维码登录,如何不靠谱

转载 2017-08-24 19:53:37

危害:任何使用扫描二维码登录功能的网站,均存在自己用户被忽悠风险;提供三方网站联登功能的,风险更大

一、扫描二维码登录流程

1、浏览器从服务器取得二维码,并附带当前二维码标识A(比如md5串)

2、浏览器带上二维码标识A,轮询服务器接口,以判断是否扫描登录成功

3、用户手机APP扫描二维码,APP解码获取二维码标识A,并带上手机端登录信息,发送服务器。服务器返回确认登录界面,确认登录

4、浏览器此刻轮询服务器接口,便可以获取到用户登录的token

 

二、攻击手法(钓鱼)

1、攻击者网站展示伪造的目标(QQ)二维码

2、提示用户扫描二维码,使用(QQ)联登此网站。受害者扫描手机QQ扫描二维码后,确认登录

3、攻击者网站轮询(QQ)服务器登录接口,能获取到受害者QQ登录token,账号被盗

(一种较low的手法:二维码手动截图 发给受害者,获取用户登录token)

 

三、存在的风险点

1、二维码标识A没有失效时间(或失效时间很长),且放在cookie中传输,导致接口不需要额外参数,(jsonp方式)返回用户的登录token ,可以跨域读取到

2、流程中的请求均使用jsonp方式,且没有严格验证referer(referer为空可绕过),所有关键参数,包括token均可跨域读取

3、流程中的请求有referer限制或未使用jsonp方式,攻击者使用curl(服务器端发送请求)绕过referer限制和绕过跨域读取的障碍,依然可以成功获取token

4、手机扫码后,不需要确认直接登录成功。或手机扫码后返回提示”允许互联登录授权“,而没有明确提示将联合登录到哪个网站

 

四、实例

(各大网站)

 

五、建议

1、手机扫码后,明确提示即将联合登录到哪个网站

2、普通用户切忌随意扫码登录

3、session绑定到ip​


阅读(0) 评论(0) 收藏(0) 转载(0) 举报/Report
相关阅读
加载中,请稍后
zzzzfeng
  • 博客等级:
  • 博客积分:0
  • 博客访问:18,988
  • 关注人气:0
  • 荣誉徽章:

相关博文

新浪BLOG意见反馈留言板 电话:4006900000 提示音后按1键(按当地市话标准计费) 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

新浪公司 版权所有