假設駭客已知道你的帳號,且發現網頁忘記密碼的功能有漏洞,他會如何騙過程式取得正確的密碼?
提示1:檢查網頁原始碼
提示2:檢視忘記密碼按鈕的元素
看起來是作者寫了一隻能自動將密碼寄到信箱的程式,因此我們打開程式碼看看寄送按鈕的行為,發現有一行傳送信箱位置的值,因此可嘗試將此信箱改為自己的,再按傳送按鈕 。
快去收信看看,賓果,密碼已截到了!
你看,網路是這麼危險,連 password 值也可以拿掉、前端的限制都可以解掉 XD
Mr. Robot 電影
重要觀念:重設密碼的機制非常重要,千萬不要用明文傳送。
沒有留言:
張貼留言