0

我正在通过 Emma(第 3 方供应商)发送一封群发电子邮件,其中包含指向登录页面的链接。登陆页面将被个性化并显示一些用户的识别信息(姓名、头衔、电子邮件)。此外,还会有一个表格收集用户的一些偏好,这些偏好将被保存回 Emma 数据库中该用户的记录中。

第 3 方数据库中的用户 ID 列是增量的,因此我显然不能只通过查询字符串附加该值,否则例如用户 522 将获得一个链接,例如www.example.com?landing/?uid=522允许他(或任何拥有该链接的人)c 获取随意猜测其他值uid(例如 523... 或 444)并更改其他用户的偏好以及很容易地查看他们的个人数据。

最重要的是,我正在尝试找到一种安全的方式来传递一个 ID(或其他唯一值),我可以通过 API 查找并使用它来动态显示,然后在用户的此登录页面上重新提交个人信息/数据-以用户为基础。

我想在 Emma 的列表中添加一个自定义列作为唯一标识符。然后我会编写一个脚本(访问 Emma 的 API)对 ID(或者可能是电子邮件地址,因为这也是唯一的)进行 BASE64 编码,并将其添加到每个用户的列表中。然后,在我的电子邮件中,我可以将它以 的形式传递到登录页面?xy=ZGF2ZUBidWRvbmsuY29t,但我知道这是编码而不是加密,所以不是那么安全……或者根本不安全。

据我所知,接收邮件的任何人都没有能力和/或倾向于知道链接中的那些额外字符是什么,BASE64 解码,BASE64 编码另一个电子邮件地址或整数,并使用新的 BASE64 编码发出请求价值,以便以一种意想不到的方式操纵我的系统。

但是出于这个问题的目的,我想知道执行此操作的“正确”方法,或者在类似情况下目前采取的安全级别。我已经阅读了有关 JWT 令牌和一些 OOth 的内容,但我不太确定这是可能的,因为我也有 Emma API 来处理......和/或这是否是矫枉过正。

当用户能够提交“妥协”(有意或无意)表单时,将值传递给页面的适当/标准又用于重新提交表单以及其他用户提供的值最糟糕的是,可能会导致他们的竞争对手有不良偏好并选择在我们的 Emma 邮件列表中保存数据?

4

2 回答 2

2

网络安全就是关于“可接受的风险”。您可以通过多种方式降低风险,但最终总会有一些您必须愿意接受的风险敞口。

您最好的选择是强制用户登录以查看页面,并避免使用任何查询字符串参数。这样,页面的后端就可以将 ID(或它可能需要的任何东西)从服务器的会话中提取出来。

您的下一个最佳选择仍然涉及强制用户登录,但uid在 URL 中保留 - 只需确保验证用户有权访问uid(即不要让用户访问其他用户的信息)。

如果您不能这样做……那么您可以创建存储在数据库中的随机键/ID,并在 URL 中使用这些值(而不是uid真实email数据)。但是让我们明确一点:这并不安全,因为在技术上可以猜测/推断该方案。

绝对不要尝试将 URL 中的信息作为 base64 编码数据传递,这很可能是黑客首先想到的。

请记住,任何will be abused通过自动化工具返回任何类型 PII 的不安全 API ......不仅仅是一个用户在你的表单上放屁。

据我所知,接收邮件的任何人都没有能力和/或倾向于知道的风险

^ 这总是一个糟糕的假设。即使结果是at worst您认为微不足道的事情,它也会为升级攻击打开大门,并使公司面临它可能不想接受的风险。

如果您在错误的选择之间陷入困境,我的专业建议是召开会议,记录会议纪要(视频或文档),并让具有“权威”的人批准您采取的方法。

于 2020-09-09T15:25:35.937 回答
0

如果有人需要一个工作示例,我在https://bhoover.com/using-php-openssl_encrypt-openssl_decrypt-encrypt-decrypt-data/找到了这个。它使用 PHP 的openssl_encryptand openssl_decrypt,它似乎非常适合我的目的

<?php
$key = base64_encode(openssl_random_pseudo_bytes(32));

function my_encrypt($data, $key) {
    // Remove the base64 encoding from our key
    $encryption_key = base64_decode($key);
    // Generate an initialization vector
    $iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length('aes-256-cbc'));
    // Encrypt the data using AES 256 encryption in CBC mode using our encryption key and initialization vector.
    $encrypted = openssl_encrypt($data, 'aes-256-cbc', $encryption_key, 0, $iv);
    // The $iv is just as important as the key for decrypting, so save it with our encrypted data using a unique separator (::)
    return base64_encode($encrypted . '::' . $iv);
}



function my_decrypt($data, $key) {
    // Remove the base64 encoding from our key
    $encryption_key = base64_decode($key);
    // To decrypt, split the encrypted data from our IV - our unique separator used was "::"
    list($encrypted_data, $iv) = explode('::', base64_decode($data), 2);
    return openssl_decrypt($encrypted_data, 'aes-256-cbc', $encryption_key, 0, $iv);
}

我首先运行my_encrypt一个循环来加密uid列表中每个成员的。

$members[$uid] = array('unique-identifier' => my_encrypt($uid, $key));

接下来,通过 API,我用新值修改了每个成员的记录。

$ret = update_members_batch($members);

这只需要做一次。

现在在我的电子邮件中,我可以uid像这样传递查询字符串www.example.com/landing/?UID=<% unique-identifier %>,它看起来像www.example.com/landing/?UID= XXXXX2ovR2xrVmorbjlMMklYd0RNSDNPMUp0dmVLNVBaZmd3TDYyTjBFMjRkejVHRjVkSEhEQmlYaXVIcGxVczo6Dm3HmE3IxGRO1HkLijQTNg==

在我的页面中,我将解密查询字符串值并通过 API 使用它来获取电子邮件地址,例如:

$member_email = get_member(my_decrypt($_GET['UID']))['email'];

并将其显示在我页面上的适当位置。

认为这涵盖了我的所有基础,但我召开利益相关者会议以获得批准。这暴露了哪些潜在的漏洞,我应该警告他们?

于 2020-09-09T22:49:13.700 回答