Associato di rischio con nonce e hash trovati nell'URL

Naviga le tue risposte
2

Mi sono imbattuto in un url con nonce e hash in posizione che è un link di attivazione dell'account inviato via email. L'esempio è il seguente:

http://example.com/competition/?r=user/activateaccount&[email protected]&source=account_activation&nonce=57b7890ce159e3c0f17493712b2ef6acb6db7477660b2f05edff442bd3&action_url=/user/activateaccount/&return_url=http://google.com&page_url=/competition/activate/CP&DUCATI=403d530c54fd23f0ce5eb7c3e508b4a4dc362518f26b17c51d98a85b&hash=a35c09b2e89610453ec9ba0a3ad75d454b634bacfa402cf26a498477c31471707095c8f6652e1ad27f4099b59a7042d50044a388e6f0ee369b0f354854b1e5b9

Mi chiedo se il link di attivazione sopra non esponga alcun rischio?

    
posta Tianne Chu 07.09.2015 - 15:10
fonte

1 risposta

2

Finché il nome di dominio corrisponde a quello previsto e non vi è alcun XS evidente incluso nell'URL, il rischio molto probabilmente non dipende dall'URL stesso ma da come viene gestito dal sito remoto.

Il nonce e l'hash come richiesto nella tua domanda sono comuni nell'email di registrazione e, a condizione che siano correttamente generati , non presentare alcun rischio per la sicurezza.

    
risposta data 07.09.2015 - 15:21
fonte

Leggi altre domande sui tag

La rete dell'operatore si auto-imposta sulla scheda SIM? Come proteggere una connessione web-socket con challenge-response?