token 被盗引发的数据安全问题

最近在过等保，测试人员拿 admin 用户的 token 替换到了 guess 用户的请求头里，得出一个存在越权的结论，给的修复方案是: 对所有用户功能基于 sessionid 判断用户权限。

但我寻思 sessionid 不也存在浏览器端吗，一样可以被等保测试人员拿到放在其他用户的请求里伪装 admin 用户

hhyygg

2021-11-18 17:12:42 +08:00

如果用了 Token ，那 Token 不就是作为 SessionID 了吗？

lniwn

2021-11-18 17:13:42 +08:00

那么问题来了，guest 用户使用了 admin 的 token ，拿它还是原来那个 guest 用户么？

gadfly3173

2021-11-18 17:14:45 +08:00

这个测试方法不是变成强行 CSRF 了么。。。

liuzhen

2021-11-18 17:15:58 +08:00

@hhyygg 等保人员就是用大权限的用户的 token 覆盖到小权限的用户 token ，再去请求接口数据，要求识别出这个请求是小权限用户的。这不是脱了裤子放屁嘛，等于是要求你把你家钥匙给张三，要求张三去开门的时候开不了

liuzhen

2021-11-18 17:16:40 +08:00

@lniwn 就是要求你还能识别出它是原来的 guest 用户

gadfly3173

2021-11-18 17:16:44 +08:00

按照这个说法，这个测试提的想法和传说中的 app 检测手机壳颜色一样了，打破第四面墙去检测屏幕之外的人。。。

wolfie

2021-11-18 17:20:55 +08:00

这个简单，每次接口请求前，弹窗输入当前用户密码就行了。🐶🐶

lniwn

2021-11-18 17:21:06 +08:00

@liuzhen 明显测试人员没有理解 token 的意义。说个偏门，token 换成 admin 了，那用户就是 admin ，前段显示 guest ，是前端的 bug[🐶]

mannixSuo

2021-11-18 17:22:43 +08:00

token 里面放个用户的 IP ，判断下请求 IP 和 token 里面的 ip ？

coosir

2021-11-18 17:29:12 +08:00

user_name + token 组合判断，他们替换就没用了，哈哈哈

rockyliang

2021-11-18 17:29:12 +08:00

@mannixSuo 在使用产品过程中用户的 IP 地址有可能会变的，如果 IP 一变就要求用户重新登录，体验会很不好

liuzhen

2021-11-18 17:32:08 +08:00

@mannixSuo IP 不行啊，服务器收到的同一个路由器下的不同电脑的 IP 是一样的，而且 WiFi 切到 4g 肯定会变 IP ，就让用户重新登录不够友好

kiracyan

2021-11-18 17:34:41 +08:00

token 绑定设备 UA 或者唯一的客户端码换了就重新登录

liuzhen

2021-11-18 17:35:46 +08:00

@kiracyan 客户端就是 web 浏览器

DoraMouse

2021-11-18 17:35:56 +08:00

token 这里可以理解成打开门的钥匙，如果拿管理员的钥匙能打开管理员才能开的门，那这不是很正常的事，跟门有啥关系。

sprite82

2021-11-18 17:36:30 +08:00

等保这帮人就这样的，很 sb ，比如拿 admin 用户的页面抽出部分 html ，给嵌入到 guest 用户的页面中，告诉我，你这个权限越权了

x86

2021-11-18 17:36:34 +08:00

人才，token 拉取的是权限...用户信息没变?

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/816341

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.