扫描二维码登录

危害：任何使用扫描二维码登录功能的网站，均存在用户钓鱼风险；提供三方网站联登功能的，风险更大

攻击者使用各种手段获取登录二维码及相关参数，将二维码展示给用户，用户扫描、登录后，攻击者拿到会话token

demo代码：https://github.com/zzzzfeng/qrcode_login

 

一、扫描二维码登录流程

1、浏览器从服务器取得二维码，并附带当前二维码标识A（比如md5串）

2、浏览器带上二维码标识A，轮询服务器接口，以判断是否扫描登录成功

3、用户手机APP扫描二维码，APP解码获取二维码标识A，并带上手机端登录信息，发送服务器。服务器返回确认登录界面，确认登录

4、浏览器此刻轮询服务器接口，便可以获取到用户登录的token

 

二、攻击手法（二维码钓鱼）

1、攻击者网站展示伪造的目标（QQ）登录二维码

2、提示用户扫描二维码，使用(QQ)联登此网站。受害者扫描手机QQ扫描二维码后，确认登录

3、攻击者网站轮询（QQ）服务器登录接口，能获取到受害者QQ登录token，账号被盗

（一种较low的手法：二维码手动截图 发给受害者，获取用户登录token；此种攻击可自动实时获得登录二维码，实现自动、批量攻击）

 

三、存在的风险点

1、二维码标识A没有失效时间（或失效时间很长），且放在cookie中传输，导致接口不需要额外参数，（jsonp方式）返回用户的登录token ，可以跨域读取到

2、流程中的请求均使用jsonp方式，且没有严格验证referer（referer为空可绕过），所有关键参数，包括token均可跨域读取

3、流程中的请求有referer限制或未使用jsonp方式，攻击者使用curl（服务器端发送请求）绕过referer限制和绕过跨域读取的障碍，依然可以成功获取token

4、手机扫码后，不需要确认直接登录成功。或手机扫码后返回提示”允许互联登录授权“，而没有明确提示将联合登录到哪个网站

 

四、实例

各大互联网帐号系统均可以实时该钓鱼攻击（各大SRC均收到过）

 

五、建议

1、手机扫码后，明确提示即将联合登录到哪个网站

2、普通用户切忌随意扫码登录