هرگز برای احراز هویت به UUID تکیه نکنید: آسیب‌پذیری‌های نسل و بهترین روش‌ها

UUID برای احراز هویت

امروزه کمتر کسی پیدا می شود که هرگز روی دکمه “بازیابی رمز عبور” با ناامیدی عمیق کلیک نکرده باشد. حتی اگر به نظر می رسد که رمز عبور بدون شک صحیح بوده است، مرحله بعدی بازیابی آن عمدتاً با بازدید از یک پیوند از یک ایمیل و وارد کردن رمز عبور جدید به آرامی انجام می شود (بیایید کسی را گول نزنیم؛ زیرا شما به تازگی آن را تایپ کرده اید به سختی جدید است. سه بار در مرحله 1 قبل از فشار دادن دکمه منفور).

منطق پشت پیوندهای ایمیل، با این حال، چیزی است که باید به دقت مورد بررسی قرار گیرد، زیرا ناامن ماندن نسل آن، سیل آسیب‌پذیری‌های مربوط به دسترسی غیرمجاز به حساب‌های کاربری را باز می‌کند. متأسفانه، در اینجا یک نمونه از ساختار URL بازیابی مبتنی بر UUID است که احتمالاً بسیاری با آن مواجه شده اند، که با این وجود از دستورالعمل های امنیتی پیروی نمی کند:

\

https://.../recover/d17ff6da-f5bf-11ee-9ce2-35a784c01695

\ اگر از چنین پیوندی استفاده شود، به طور کلی به این معنی است که هر کسی می تواند رمز عبور شما را دریافت کند، و به همین سادگی است. هدف این مقاله بررسی عمیق روش‌های تولید UUID و انتخاب رویکردهای ناامن برای کاربرد آنها است.

UUID چیست؟

UUID یک برچسب 128 بیتی است که معمولاً در تولید شناسه های شبه تصادفی با دو ویژگی ارزشمند استفاده می شود: به اندازه کافی پیچیده و به اندازه کافی منحصر به فرد است. عمدتاً، اینها الزامات کلیدی برای خروج شناسنامه از …

سئو PBN | خبر های جدید سئو و هک و سرور