1. 前言
验证移动客户端进行密码修改时的安全性,如果存在问题则可能造成用户密码被非法修改。
2. 测试步骤
查看 APP 修改密码的地方是否存在问题,我遇到的情况有以下几种:
- 直接让输入新密码。
- 虽然有让输入旧密码,但实际并未进行验证。
- 使用短信验证码进行修改密码,但短信验证码存在安全问题(邮箱等验证方式同理)。
- 修改密码的最后一步可以越权修改到其他用户密码。
3. 修复建议
建议在修改密码时,移动客户端及服务器系统增添原密码输入验证身份的逻辑,以防 Cookie 登录修改密码的攻击。
若有收获,就点个赞吧
0 人点赞
