|
Титла: Сигурност на сайта Публикувано от: VladSun в Oct 20, 2006, 20:18 Не мисля, че е добра идея да може да се сменя адреса на електронната поща в личния профил без искане на парола (при смяна на парола всичко е ОК). Получава се следната слабост:
1. някой Ви краде SID-a; 2. влиза в профила Ви и сменя адреса на електронната поща; 3. потвърждава от собствената си електронната поща, смяната й; 4. излиза от системата и иска "Забравена парола"; 5. получава истинската парола в чист текст; 6. влиза обратно с потребител/парола; 7. връща обратно стария адрес на елкетронната поща; 8. атакувания потребител ще реши, че е някакво служебно съобщение и ще потвърди през пратения URL. Така и атакуваният, и атакуващият ще могат да влизат по всяко време с оригиналните пароли. При това атакуваният вече няма как да се усети, освен при явни действия на атакуващия. Титла: Сигурност на сайта Публикувано от: VladSun в Oct 24, 2006, 05:58 |