Riesgo asociado con nonce y hash encontrado en url

Question

Riesgo asociado con nonce y hash encontrado en url

#1 de WhiteWinterWolf (2 votos)

2

Me he encontrado con una url con nonce y hash en lugar de un enlace de activación de cuenta enviado por correo electrónico. El ejemplo es el siguiente:

http://example.com/competition/?r=user/activateaccount&[email protected]&source=account_activation&nonce=57b7890ce159e3c0f17493712b2ef6acb6db7477660b2f05edff442bd3&action_url=/user/activateaccount/&return_url=http://google.com&page_url=/competition/activate/CP&DUCATI=403d530c54fd23f0ce5eb7c3e508b4a4dc362518f26b17c51d98a85b&hash=a35c09b2e89610453ec9ba0a3ad75d454b634bacfa402cf26a498477c31471707095c8f6652e1ad27f4099b59a7042d50044a388e6f0ee369b0f354854b1e5b9

Me pregunto si el enlace de activación anterior expone algún riesgo.

hash url nonce

pregunta Tianne Chu 07.09.2015 - 15:10

fuente

1 respuesta

Lea otras preguntas en las etiquetas hash url nonce

¿Cómo asegurar una conexión websocket con desafío-respuesta? 302 redirigir y el cuerpo en la página (se te redirige a ...)

score 2 · Accepted Answer

Mientras el nombre de dominio corresponda al esperado y no se incluya un XSS descarado en la URL, lo más probable es que el riesgo no dependa de la URL en sí, sino de cómo lo maneja el sitio remoto.

El nonce y el hash según lo solicitado en su pregunta son comunes en el correo electrónico de registro y, siempre y cuando sean correctamente generados , no presenta ningún riesgo de seguridad.