4

Soundcloud Connect 按钮的用户登录过程

  1. 按下网站上的按钮并使用 api 服务器生成的随机令牌启动会话,而无需在 Soundcloud 上对用户进行身份验证。
  2. 用户被重定向到 Soundcloud 身份验证页面(soundcloud 登录页面)。
  3. 用户应输入他/她的 Soundcloud 帐户信息。
  4. 按下连接后,在 api 端调用一个方法,根据 SoundCloud 发送的参数创建用户及其身份验证。并且 api 服务器将用户重定向到主页,客户端中的脚本将令牌设置为标头作为对网站的授权。

现在,我担心的是在用户通过 soundcloud 连接之前启动会话,即使用户不连接到 SoundCloud 就无法进入主页。

这种验证用户的技术是否安全?潜在的攻击是什么?

4

1 回答 1

0

这种方法会使您容易受到会话固定的影响。

攻击场景如下所示:

  1. 攻击者诱骗用户使用已知的会话密钥(通常通过 XSS 等其他漏洞)
  2. 用户通过 SoundCloud 进行身份验证,会话密钥保持不变
  3. 攻击者使用相同的会话密钥连接到您的应用程序,从而接管会话。

虽然这种攻击不是很常见,但它在野外出现,标准程序是在任何身份验证发生后总是发布一个新的会话密钥。

于 2015-07-21T08:56:58.820 回答