以 html post 形式存储重置密码令牌是否安全?
Is it safe to store reset password token in html post form?
我想在我的个人 express.js 应用程序中添加 reset/forgot 密码功能。我决定以类似 Django 的方式实现它。
基本上,它会根据用户(id、散列密码、电子邮件、上次登录时间和当前时间,所有这些都与 unqiue 密码和 salt 混合)生成唯一的令牌。然后,用户在他的“重置密码 link”中收到该令牌。 one of Whosebug answers.
有人解释得比我好
这里是 source code of Django PasswordResetTokenGenerator class
我将 post 我的 javascript 实现放在底部。如果您检查它是否存在可能的缺陷,那就太好了,但这不是我的主要问题:)
因此,用户收到带有“重置密码 link”的电子邮件。 Link 看起来像这样 https://example.com/reset-password/MQ/58ix7l-35858854f74c35d0c64a5a17bd127f71cd3ad1da,其中:
MQ 是 base64 编码的用户 ID(本例中为 1)58ix7l是base36编码的时间戳35858... 是实际令牌
用户点击 link。服务器接收 GET 请求 -> 服务器检查是否存在具有该 ID 的用户 -> 然后服务器检查令牌的正确性。
如果一切正常,服务器会向用户发送 html 以“设置新密码”形式的响应。
到目前为止,一切都与 django 的操作方式几乎完全相同(有一些细微差别)。但现在我想做一些不同的事情。
Django(在收到 GET 请求后)建立匿名会话,在会话中存储令牌,并重定向(302)以重置密码表单。客户端没有任何令牌标志。用户填写表格,POST 请求连同新密码一起发送到服务器。服务器再次检查令牌(存储在会话中)。如果一切正常 - 密码已更改。
出于某种原因(这会使我的应用程序变得更加复杂:)),我不想添加匿名会话,我不想在会话中存储令牌。
我只想从 req.params 获取令牌 -> 对其进行转义 -> 检查它是否有效 -> 并使用表单发送给用户,如下所示:
<form action="/reset-password" method="POST">
<label for="new-password">New password</label><input id="new-password" type="password" name="new-password" />
<label for="repeat-new-password">Repeat new password</label><input id="repeat-new-password" type="password" name="repeat-new-password" />
<input name="token" type="hidden" value="58ix7l-35858854f74c35d0c64a5a17bd127f71cd3ad1da">
<input type="submit" value="Set new password" />
</form>
用户发送表单,服务器再次检查令牌,然后更改密码。
所以在文字墙之后,我的问题是:
像这样以html形式存储token安全吗?
我能想到一种可能的威胁:恶意用户可以用 <script>alert('boo!')</script> 而不是令牌向某人 link 发送。但是,如果之前验证并转义了令牌,应该没有问题。还有其他可能的漏洞吗?
如我之前所说,我正在 post 执行我的 generateToken、checkToken javascript 实施,以防万一...
生成更改密码-token.js
const { differenceInSeconds } = require('date-fns');
const makeTokenWithTimestamp = require('../crypto/make-token-with-timestamp');
function generateChangePasswordToken(user) {
const timestamp = differenceInSeconds(new Date(), new Date(2010, 1, 1));
const token = makeTokenWithTimestamp(user, timestamp);
return token;
}
module.exports = generateChangePasswordToken;
验证-更改密码-token.js
const crypto = require('crypto');
const { differenceInSeconds } = require('date-fns');
const makeTokenWithTimestamp = require('../crypto/make-token-with-timestamp');
function verifyChangePasswordToken(user, token) {
const timestamp = parseInt(token.split('-')[0], 36);
const difference = differenceInSeconds(new Date(), new Date(2010, 1, 1)) - timestamp;
if (difference > 60 * 60 * 24) {
return false;
}
const newToken = makeTokenWithTimestamp(user, timestamp);
const valid = crypto.timingSafeEqual(Buffer.from(token), Buffer.from(newToken));
if (valid === true) {
return true;
}
return false;
}
module.exports = verifyChangePasswordToken;
制作令牌-timestamp.js
const crypto = require('crypto');
function saltedHmac(keySalt, value, secret) {
const hash = crypto.createHash('sha1').update(keySalt + secret).digest('hex');
const hmac = crypto.createHmac('sha1', hash).update(value).digest('hex');
return hmac;
}
function makeHashValue(user, timestamp) {
const { last_login: lastLogin, id, password } = user;
const loginTimestamp = lastLogin ? lastLogin.getTime() : '';
return String(id) + password + String(loginTimestamp) + String(timestamp);
}
function makeTokenWithTimestamp(user, timestamp) {
const timestamp36 = timestamp.toString(36);
const hashValue = makeHashValue(user, timestamp);
const keySalt = process.env.KEY_SALT;
const secret = process.env.SECRET_KEY;
if (!(keySalt && secret)) {
throw new Error('You need to set KEY_SALT and SECRET_KEY in env variables');
}
const hashString = saltedHmac(keySalt, hashValue, secret);
return `${timestamp36}-${hashString}`;
}
module.exports = makeTokenWithTimestamp;
谢谢
从安全的角度来看,将重置令牌存储在 URL(get 变量)或形式(作为 post 变量)中并没有太大区别。在这两种情况下,任何有权访问 URL 的人都将有权重置密码。
正如您所提到的,您需要注意 XSS 攻击(将 javascript 嵌入到随后显示在页面中的令牌中),并验证令牌是否只是字母数字应该可以解决该特定问题问题。您还需要注意 CORS 风格的攻击,大多数框架都可以为您处理。
对我来说,要考虑的另外两件事是-
令牌会在合理的时间内过期,因为它基本上是一个密码,可用于接管帐户。
在任何密码请求后发送通知,这样如果用户没有故意重置自己的密码,他们就可以知道该事件。
我想在我的个人 express.js 应用程序中添加 reset/forgot 密码功能。我决定以类似 Django 的方式实现它。
基本上,它会根据用户(id、散列密码、电子邮件、上次登录时间和当前时间,所有这些都与 unqiue 密码和 salt 混合)生成唯一的令牌。然后,用户在他的“重置密码 link”中收到该令牌。 one of Whosebug answers.
有人解释得比我好这里是 source code of Django PasswordResetTokenGenerator class
我将 post 我的 javascript 实现放在底部。如果您检查它是否存在可能的缺陷,那就太好了,但这不是我的主要问题:)
因此,用户收到带有“重置密码 link”的电子邮件。 Link 看起来像这样 https://example.com/reset-password/MQ/58ix7l-35858854f74c35d0c64a5a17bd127f71cd3ad1da,其中:
MQ是 base64 编码的用户 ID(本例中为 1)58ix7l是base36编码的时间戳35858...是实际令牌
用户点击 link。服务器接收 GET 请求 -> 服务器检查是否存在具有该 ID 的用户 -> 然后服务器检查令牌的正确性。 如果一切正常,服务器会向用户发送 html 以“设置新密码”形式的响应。
到目前为止,一切都与 django 的操作方式几乎完全相同(有一些细微差别)。但现在我想做一些不同的事情。 Django(在收到 GET 请求后)建立匿名会话,在会话中存储令牌,并重定向(302)以重置密码表单。客户端没有任何令牌标志。用户填写表格,POST 请求连同新密码一起发送到服务器。服务器再次检查令牌(存储在会话中)。如果一切正常 - 密码已更改。
出于某种原因(这会使我的应用程序变得更加复杂:)),我不想添加匿名会话,我不想在会话中存储令牌。
我只想从 req.params 获取令牌 -> 对其进行转义 -> 检查它是否有效 -> 并使用表单发送给用户,如下所示:
<form action="/reset-password" method="POST">
<label for="new-password">New password</label><input id="new-password" type="password" name="new-password" />
<label for="repeat-new-password">Repeat new password</label><input id="repeat-new-password" type="password" name="repeat-new-password" />
<input name="token" type="hidden" value="58ix7l-35858854f74c35d0c64a5a17bd127f71cd3ad1da">
<input type="submit" value="Set new password" />
</form>
用户发送表单,服务器再次检查令牌,然后更改密码。
所以在文字墙之后,我的问题是:
像这样以html形式存储token安全吗?
我能想到一种可能的威胁:恶意用户可以用 <script>alert('boo!')</script> 而不是令牌向某人 link 发送。但是,如果之前验证并转义了令牌,应该没有问题。还有其他可能的漏洞吗?
如我之前所说,我正在 post 执行我的 generateToken、checkToken javascript 实施,以防万一...
生成更改密码-token.js
const { differenceInSeconds } = require('date-fns');
const makeTokenWithTimestamp = require('../crypto/make-token-with-timestamp');
function generateChangePasswordToken(user) {
const timestamp = differenceInSeconds(new Date(), new Date(2010, 1, 1));
const token = makeTokenWithTimestamp(user, timestamp);
return token;
}
module.exports = generateChangePasswordToken;
验证-更改密码-token.js
const crypto = require('crypto');
const { differenceInSeconds } = require('date-fns');
const makeTokenWithTimestamp = require('../crypto/make-token-with-timestamp');
function verifyChangePasswordToken(user, token) {
const timestamp = parseInt(token.split('-')[0], 36);
const difference = differenceInSeconds(new Date(), new Date(2010, 1, 1)) - timestamp;
if (difference > 60 * 60 * 24) {
return false;
}
const newToken = makeTokenWithTimestamp(user, timestamp);
const valid = crypto.timingSafeEqual(Buffer.from(token), Buffer.from(newToken));
if (valid === true) {
return true;
}
return false;
}
module.exports = verifyChangePasswordToken;
制作令牌-timestamp.js
const crypto = require('crypto');
function saltedHmac(keySalt, value, secret) {
const hash = crypto.createHash('sha1').update(keySalt + secret).digest('hex');
const hmac = crypto.createHmac('sha1', hash).update(value).digest('hex');
return hmac;
}
function makeHashValue(user, timestamp) {
const { last_login: lastLogin, id, password } = user;
const loginTimestamp = lastLogin ? lastLogin.getTime() : '';
return String(id) + password + String(loginTimestamp) + String(timestamp);
}
function makeTokenWithTimestamp(user, timestamp) {
const timestamp36 = timestamp.toString(36);
const hashValue = makeHashValue(user, timestamp);
const keySalt = process.env.KEY_SALT;
const secret = process.env.SECRET_KEY;
if (!(keySalt && secret)) {
throw new Error('You need to set KEY_SALT and SECRET_KEY in env variables');
}
const hashString = saltedHmac(keySalt, hashValue, secret);
return `${timestamp36}-${hashString}`;
}
module.exports = makeTokenWithTimestamp;
谢谢
从安全的角度来看,将重置令牌存储在 URL(get 变量)或形式(作为 post 变量)中并没有太大区别。在这两种情况下,任何有权访问 URL 的人都将有权重置密码。
正如您所提到的,您需要注意 XSS 攻击(将 javascript 嵌入到随后显示在页面中的令牌中),并验证令牌是否只是字母数字应该可以解决该特定问题问题。您还需要注意 CORS 风格的攻击,大多数框架都可以为您处理。
对我来说,要考虑的另外两件事是-
令牌会在合理的时间内过期,因为它基本上是一个密码,可用于接管帐户。
在任何密码请求后发送通知,这样如果用户没有故意重置自己的密码,他们就可以知道该事件。