【网络安全】Cookie与ID未强绑定导致账户接管
未经许可,不得转载。
文章目录
- 前言
- 正文
前言
DigiLocker 是一项在线服务,旨在为公民提供一个安全的数字平台,用于存储和访问重要的文档,如 Aadhaar 卡、PAN 卡和成绩单等。DigiLocker 通过多因素身份验证(MFA)来保护用户账户安全,通常包括 6 位数的安全 PIN 和一次性密码(OTP)验证。
正文
在登录过程中,我输入了我的手机号。随后,在一个 POST 请求中,我看到了与该手机号关联的所有账户,每个账户都带有一个唯一的 digilockerid:
当我输入 PIN 并进入到 OTP 验证页面时,发现了一个“更新手机号”的选项。点击后,我输入了原始手机号的验证码,接着,系统让我输入一个新的手机号。输入后,我拦截了请求,并注意到其中有一个参数叫做“user”,它正是 digilockerid: