【发布时间】:2015-04-26 01:33:39
【问题描述】:
您认为黑客如何进行以下操作,您将如何防止(寻找一些有用的链接、关键字或对情况的评估)?
他们是一个网站,用户可以在其中注册并获得邀请电子邮件。邀请链接 (https) 包含令牌。它看起来像“https://www.example.com/token/123456”(123456 是令牌)。
似乎在我的用户单击此链接的第二天,其他人也使用了相同的链接。
这怎么可能?如何防止这种黑客攻击?
谢谢
编辑: 对不起,我应该提供更多信息。我可以消除这样的观点,即这不仅仅是随机令牌变化的尝试。为什么?在其中一位用户使用该链接后的第二天使用确切的令牌。令牌是超过 20 个字符的哈希令牌。
【问题讨论】:
-
令牌是如何生成的?尝试在成功后停用令牌,并添加相对于其生成日期的到期日期。