token di sicurezza multiuso una vulnerabilità di sicurezza?

5

La nostra applicazione ha il concetto di token di sicurezza. Si tratta di stringhe generate casualmente e crittograficamente sicure utilizzate durante la generazione di e-mail di reimpostazione della password, nonché di conferme e-mail per altre azioni. I token sono monouso e scadono dopo un giorno. I token forniscono due informazioni chiave. Identificano un account specifico e dimostrano che la persona che detiene il token è il proprietario di quell'account.

Attualmente la nostra applicazione non assegna un uso specifico per ciascun token, un token generato per reimpostare una password può essere utilizzato per confermare un'altra azione, e viceversa.

Supponendo che il token sia tenuto al sicuro, quali potrebbero essere le eventuali insidie della sicurezza e i nostri token di sicurezza dovrebbero essere limitati allo scopo per cui sono stati originariamente generati (ad esempio, solo un token di reimpostazione della password può reimpostare una password, ecc. )

    
posta jduncanator 03.11.2016 - 23:40
fonte

1 risposta

0

Il tipo di problema che posso prevedere con questo è che è vulnerabile al seguente tipo di attacco:

  1. L'attaccante fa sì che il sistema invii una e-mail di reimpostazione della password all'utente. Tale email contiene un token di sicurezza valido più alcuni contesto , ad esempio:
    • Dicendo all'utente di cosa si tratta;
    • Istruzioni per l'utente su come completare l'azione;
    • URL che l'utente deve fare clic per completare l'azione.
  2. L'attaccante intercetta questa e-mail e la adultera per mantenere il token di sicurezza, ma altera il contesto a loro vantaggio.
  3. L'utente riceve l'e-mail contraffatta, agisce sul contesto adulterato e quindi esegue involontariamente un'azione che l'autore dell'attacco aveva intenzione di fare.

Se questo è un attacco realistico o fruttuoso dipende molto dai dettagli del tuo sistema. In ogni caso, legare i token alle azioni che dovrebbero eseguire rimuove questo tipo di rischio.

    
risposta data 04.11.2016 - 00:23
fonte

Leggi altre domande sui tag