- 扫描二维码登录即可以保证一定的便利性(无须记起密码)和安全性,也可以提高APP的活跃度,所以几乎被cn所有互联网企业采用
- 攻击者在自己电脑打开二维码登录界面,将二维码截图发送给小白用户,小白用户扫描确认后,攻击者拿到登录cookie
- 攻击者在网站页面上拉取并展示登录二维码,展示给小白用户,小白扫码登录确认登录后,页面将登录
跳转链接或登录cookie发回攻击者服务器(纯静态页面和结合动态页面,动态方式curl完全模拟官方登录页面)
- 第二种方式无法防御(目前都可以模拟):可以增加登录页面的分析难度
- 手机端点击登录,并明确提示用户、防范钓鱼:所有APP都有,除了iqiyi扫码秒登
- 增加帐号风控,检测异地、新设备:不允许多个会话同时在线(即被挤掉);修改密码后注销该帐号所有会话等
- weixin又写了一次,其他的站之前的代码都已丢失,慢慢补充