您认为黑客如何做以下事情,您将如何阻止(寻找一些有用的链接,关键字或评估情况)?
他们是一个用户可以注册并获得邀请电子邮件的网站。 invaitation链接(https)包含令牌。它看起来像'https://www.example.com/token/123456'(123456是令牌)。
似乎在我的用户点击此链接后的第二天,其他人也使用相同的链接。
这怎么可能?我怎样才能防止这种黑客攻击?
由于
编辑: 对不起,我应该提供更多信息。我可以消除这种观点,即它不仅仅是随机令牌变化的尝试。为什么?在用户使用该链接之后一天使用确切令牌。令牌是一个超过20个字符的散列令牌。
答案 0 :(得分:0)
他们可以运行脚本来尝试令牌值中的任何数值。
这很容易。你的令牌有多长?我还建议使用散列令牌而不是简单的数字来限制自动处理,因为“hack”是脚本来尝试一个数字,得到一个结果 - 存储结果,然后number = number + 1;编辑:你有什么证据证明你被黑了?有人单击令牌链接后,您的脚本会发生什么?
答案 1 :(得分:0)
一个简单的应用逻辑可能是:
如果有人使用随机令牌调用您的服务,您可以拒绝他们,因为您的信息系统没有保存该令牌。 然后,如果你有令牌,你必须丢弃它,这样链接就不再有效了。
您还可以查看注册中使用的电子邮件是否与用于计算令牌的电子邮件相同..这样您就可以阻止注册!