危害:任何使用扫描二维码登录功能的网站,均存在用户钓鱼风险;提供三方网站联登功能的,风险更大
攻击者使用各种手段获取登录二维码及相关参数,将二维码展示给用户,用户扫描、登录后,攻击者拿到会话token
demo代码:https://github.com/zzzzfeng/qrcode_login
一、扫描二维码登录流程
1、浏览器从服务器取得二维码,并附带当前二维码标识A(比如md5串)
2、浏览器带上二维码标识A,轮询服务器接口,以判断是否扫描登录成功
3、用户手机APP扫描二维码,APP解码获取二维码标识A,并带上手机端登录信息,发送服务器。服务器返回确认登录界面,确认登录
4、浏览器此刻轮询服务器接口,便可以获取到用户登录的token
二、攻击手法(二维码钓鱼)
1、攻击者网站展示伪造的目标(QQ)登录二维码
2、提示用户扫描二维码,使用(QQ)联登此网站。受害者扫描手机QQ扫描二维码后,确认登录
3、攻击者网站轮询(QQ)服务器登录接口,能获取到受害者QQ登录token,账号被盗
(一种较low的手法:二维码手动截图 发给受害者,获取用户登录token;此种攻击可自动实时获得登录二维码,实现自动、批量攻击)
三、存在的风险点
1、二维码标识A没有失效时间(或失效时间很长),且放在cookie中传输,导致接口不需要额外参数,(jsonp方式)返回用户的登录token ,可以跨域读取到
2、流程中的请求均使用jsonp方式,且没有严格验证referer(referer为空可绕过),所有关键参数,包括token均可跨域读取
3、流程中的请求有referer限制或未使用jsonp方式,攻击者使用curl(服务器端发送请求)绕过referer限制和绕过跨域读取的障碍,依然可以成功获取token
4、手机扫码后,不需要确认直接登录成功。或手机扫码后返回提示”允许互联登录授权“,而没有明确提示将联合登录到哪个网站
四、实例
各大互联网帐号系统均可以实时该钓鱼攻击(各大SRC均收到过)
五、建议
1、手机扫码后,明确提示即将联合登录到哪个网站
2、普通用户切忌随意扫码登录