今天收到邮箱中一封新蛋网密码重置的信件,本人很是奇怪,家中那个时间段没人,我也不在网,为何会出现重置邮件呢?经过笔者调查发现,新蛋网的密码找回机制实际上是暗藏泄露顾客邮箱的漏洞。
简要描述:
新蛋注册邮箱可以随意反查~用户名反查注册邮箱
详细说明:
1、进入新蛋用户找回密码页面:https://secure.newegg.com.cn/Customer/GetPassword.aspx
2、预测用户名,比如admin,输入验证码;然后确认后,会弹出成功向administrator11@sina.com邮箱发送邮件的信息,整个过程如下图:
评价:新蛋的这种找回密码的方式确实欠妥,没有将用户Email地址做部分隐藏处理,只要知道了用户名就可获取该用户Email地址,如果Email为弱密码,后果不堪设想。
不过目前新蛋的用户名都做了隐藏处理,要想猜到其用户名,恐怕也没那么容易。
主要电商的密码找回方式与用户隐私保密安全性
而同是电商的京东,重置密码时不但要求用户填入用户名,更要求填入对应的邮箱账号,这也是一般网站找回密码机制的一种,截图如下:
评价:这种验证采用了双重验证方式来保护用户隐私,基本可以杜绝反查获得用户相关信息。
亚马逊的找回方式有两种:非邮箱注册可填注册时的用户名,邮箱注册则输入邮箱地址,如果用户注册时为非邮箱,则同样可以反查得到。
感谢匿名人士的投稿!
好文章,内容惊心动魄.禁止此消息:nolinkok@163.com