QR码安全性测试

Question

在我的客户端项目范围内，我使用OWASP测试现有站点和项目的安全漏洞。客户端使用带有QR代码和QR代码的邀请登录到他的项目。

如何在安全问题上测试QR代码？

我也可以在CI区域自动化这个过程吗？

“QR规则”的详细内容：

• 客户的QR代码包含一个登录号。
• QR代码目前仅通过邮件发送。

https://resources.infosecinstitute.com/security-attacks-via-malicious-qr-codes/

Answer 1

如何在安全问题上测试QR代码？

QR代码只是一段数据。它与条形码或文本字符串没有什么不同。

它编码数据。您的问题本质上是没有意义的，因为QR代码不会有安全问题。它的使用、分发或内容可能存在安全性问题。

所以真正的问题是：

• QR代码编码了什么？
• 它们是如何分布的？
• 它们是如何被最终用户使用/读取的？

除了阅读操作(读取器应用程序中可能存在安全问题)之外，它们与电子邮件或类似的链接没有什么不同。