漏洞分析:
二维码扫码即可自动登录,会造成极大风险,假设恶意分子把这个二维码伪造为其他二维码,用户一旦扫码,可能被攻击登录后导致用户信息或其他相关信息泄露。
部分插件假设就算有有效期,也一样存在风险。
漏洞解决办法:(增加二次确认页面,类似于微信pc版登录的机制)
当扫码后,不立即登录,而是出现二次确认页面
参考插件机制:https://addon.discuz.com/index.php?mod=app&type=0&f_k=%CE%A2%D0%C5
2018-11-18 12:38:01
550
2018-11-18 12:38:01
大量微信登录插件,都存在漏洞,容易被恶意分子利用。
漏洞分析:
二维码扫码即可自动登录,会造成极大风险,假设恶意分子把这个二维码伪造为其他二维码,用户一旦扫码,可能被攻击登录后导致用户信息或其他相关信息泄露。
部分插件假设就算有有效期,也一样存在风险。
漏洞解决办法:(增加二次确认页面,类似于微信pc版登录的机制)
当扫码后,不立即登录,而是出现二次确认页面
参考插件机制:https://addon.discuz.com/index.php?mod=app&type=0&f_k=%CE%A2%D0%C5
漏洞分析:
二维码扫码即可自动登录,会造成极大风险,假设恶意分子把这个二维码伪造为其他二维码,用户一旦扫码,可能被攻击登录后导致用户信息或其他相关信息泄露。
部分插件假设就算有有效期,也一样存在风险。
漏洞解决办法:(增加二次确认页面,类似于微信pc版登录的机制)
当扫码后,不立即登录,而是出现二次确认页面
参考插件机制:https://addon.discuz.com/index.php?mod=app&type=0&f_k=%CE%A2%D0%C5
