楼主你的如下博客中的代码有安全漏洞

楼主你的如下博客中的代码有安全漏洞:
http://blog.csdn.net/xyang81/article/details/7727141
------------------------------------------------------------------------------------------

如果用户张三将邮件中收到的链接中的id或username改成别人的(如李四的),就能够:

1,

将其他用户(李四)已经验证的邮箱再变为未验证的状态

2,

查看其他用户(李四)的数据,因为他已经用李四的身份登录了,只是他(李四)的邮箱状态为未认证,权限有限制而已
3,

重设其他任何用户的密码,只要知道其username即可

------------------------------------------------------------------------------------------

1和2的证明如下:
http://localhost:8080/AccountActivate/activateAccount?id=800&checkCode=any_thing_here
上面id=800,而800是李四的,

张三用上面修改过id的链接访问网站,

在ActivateAccountServle中

User user = userDao.findUserById(id);

user.setActivated(GenerateLinkUtils.verifyCheckcode(user, request));

userDao.updateUser(user);  

request.getSession().setAttribute("user", user);

request.getRequestDispatcher("/accountActivateUI").forward(request, response);

代码中未加判断,直接把李四的activated状态给set了, 由于checkCode的值是随便写的,或者是张三自己的checkcode,

verifyCheckcode()会返回false

那么李四的activated被设置为false,即邮箱状态又变成未验证了,因为update到DB里了.

更可怕的是,李四的user信息直接被存到session中去了,也就是说张三直接以李四的身份登录了

那么他可以做很多事情,只要不是那些要求邮箱必须为验证状态的事情,张三都可以做.

例如查看李四的账号信息,业务信息等.

当然这只是粗心所致,修改起来也很简单:

只要才上述几个步骤前加如下判断即可

if(GenerateLinkUtils.verifyCheckcode(user, request)){

//上面那些代码应放到这里
}

------------------------------------------------------------------------------------------

3的证明如下:

用户点击重置密码的链接后, servlet中没有检查checkcode的值, 所以无法判断此链接是否是伪造的,见下图



即使上面判断了checkcode也不行,因为你在用户重置密码时,所修改的用户名居然是让用户自主提交的.



String userName = request.getParameter("userName");  //这里的用户名来自客户提交的表单

String newPassword = request.getParameter("newPassword");  

String newPassword2 = request.getParameter("newPassword2");  

         

UserDao userDao = UserDaoImpl.getInstance();  

User user = userDao.findUserByName(userName);  //根据此用户名得到User

user.setPassword(newPassword);  //然后未经判断,直接把此用户的密码给改掉了, 这样任何一个用户都可以修改其他人的密码了,只要得到别人的用户名.

解决方法: 通过验证码锁定用户信息后,将User对象存在session里,始终不要发给客户端, 注意:千万不要把此用户名发的客户端的hidden中,因为hidden是不安全的,客户可以通过源代码看到并很容易在提交前篡改.