如何分析密码恢复令牌？

Question

所有支持通过身份验证的用户交互的网站都具有密码恢复功能。通常，他们会通过电子邮件发送密码重置链接，通过该链接，您可以通过键入新密码轻松恢复您的帐户。因此，当我对其中一些网站进行访问时，我注意到密码恢复令牌似乎有些猜测。一些网站对密码恢复令牌使用MD5或Base64编码。

那么，我的问题是，我们是否可以使用任何标准过程来确定令牌的强度，或者通过什么方法生成令牌呢？

密码恢复链接示例：

http://example.com/users/password?recover_token=qQGgQrwzzz1SV1X9xznc

(其中密码恢复令牌为qQGgQrwzzz1SV1X9xznc)

Answer 1

如果您无法访问源代码，则必须多次尝试查看令牌生成中是否存在任何模式。如果它是一个基本的增量，这可能很容易被击败。您也可以考虑令牌的长度。

以下是一些关于这一主题的OWASP指南，这些指南可能有用：

• 测试弱密码更改或重置功能(OWASP 011)
• 测试易受攻击的记忆密码和Pwd重置(OWASP 006)
• OWASP-安全101密码重置选项

这些将帮助您完成测试部分，但是您可能想要就如何实际进行模式预测打开一个关于cryto或数学SE的问题。

Answer 2

Burp可以使用排序器工具对令牌进行统计分析。

• 发送从其他Burp工具返回安全令牌的请求，以便在中进行测试。
• 反复重新发出相同的请求，以生成大量的令牌样本以进行统计分析。
• 执行一组严格的测试，包括标准的FIPS测试和其他测试，在字符和位级别上估计样本内的随机性程度。开始使用最多100个令牌来执行分析，并在收集更大的示例时重新执行，直到FIPS推荐的20,000个令牌的样本大小。
• 查看所有测试的直观、一目了然的摘要，让您快速了解随机性的总体质量。
• 查看详细的图形测试输出，让您深入了解令牌的各个部分通过或失败的详细原因。加载现有的令牌示例以进行分析，如果这些标记已经在其他地方捕获。

此功能可在免费版本中使用。