被黑客入侵。黑客如何獲得用戶的個人URL（標記）？

Question

您認爲黑客會如何做以下事情？您會如何防範（尋找一些有用的鏈接，關鍵字或評估結果）？

他們是一個網站，用戶可以註冊並獲得邀請電子郵件。入侵鏈接（https）包含令牌。它看起來像'https://www.example.com/token/123456'（123456是令牌）。

看來，在用戶點擊此鏈接後的第二天，其他人也使用了相同的鏈接。

這怎麼可能，我該如何防止這種黑客？

感謝

編輯： 對不起，我應該給更多的信息。我可以消除這種觀點，認爲這不僅僅是隨機令牌變化的嘗試。爲什麼？確切的令牌在用戶使用鏈接之後一天使用。該令牌是一個包含20個以上字符的哈希令牌。

Answer 1

他們可以運行腳本來嘗試令牌值中的任何數值。

很簡單。你的代幣有多久？我還建議使用散列標記而不是簡單的數字來限制自動處理，因爲「hack」是腳本來嘗試一個數字，得到結果 - 存儲結果，然後number = number + 1;

編輯：你有什麼證據被黑客入​​侵？一旦有人點擊了令牌鏈接，腳本中會發生什麼？

Answer 2

應用一個簡單的邏輯可以是：

1. 限定字符串模式。像：secretconstant％的電子郵件
2. 哈希的字符串，現在你有令牌（並保存）
3. 創建您的邀請鏈接與令牌

如果有人叫隨機令牌您服務，您可以拒絕他們因爲你的信息系統沒有保存那個標記。 然後如果你有令牌，你必須丟棄它，這樣鏈接將不再有效。

您也可以檢查註冊中使用的電子郵件是否與用於計算令牌的電子郵件相同。因此您可能會阻止註冊！