首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
华为云
V2EX  ›  全球工单系统

bilibili 安全验证是不是有个漏洞?

  •  
  •   bolide2005 · 188 天前 · 3895 次点击
    这是一个创建于 188 天前的主题,其中的信息可能已经有所发展或是发生改变。
    昨天收到短信,说我 b 站的帐号被修改了密码。
    帐号是用一个邮箱注册的,之前这家邮箱公司被脱裤,暴露了一个很早以前用的密码,b 站用的好像就是这个早期密码,所以被登录了我倒还不是特别意外。
    但是在我绑定手机号的情况下居然能被修改密码?当时也没太注意,就登上去修改了密码;今天再登录发现用邮箱做用户名,登不上去了,就用手机号做用户名登录了,进去看发现邮箱也被解绑换掉了。这一系列操作我是摸不着北,没看出是啥情况,当然也就不好说是漏洞。
    但是发现,如果帐号之前没有设置密保的话,是可以直接在页面上设置的,不需要通过接收手机、邮箱验证码;而通过密保是可以修改密码的。换句话说,如果之前没有设置过密保,而密码又丢失的话,即使绑定了邮箱或者手机,依然会被人修改密码……
    如今 B 站上也有一些支付相关的功能了,感觉这样子好像不太稳啊
    17 回复  |  直到 2018-02-14 13:56:18 +08:00
        1
    tigerstudent   188 天前 via Android
    我今天手机 APP 上也忽然强制要我重新登陆。。原来是这么回事
        2
    DOLLOR   188 天前
    你的安全邮箱被盗了,然后利用你的安全邮箱改密码、换邮箱。这大概是你的账号被盗的方式。

    创建密保不需要验证手机、邮箱;然后利用密保可以改密码,但是并不能改手机、邮箱吧。

    结论,B 站的权限等级应该是:手机、邮箱>密保、密码。同级可互改,高级可改低级,低级不能改高级。
        3
    bolide2005   188 天前
    @DOLLOR #2 邮箱没有被盗,邮箱脱裤暴露的那个密码是个很早之前用的密码,密级很低,所以邮箱是安全的,只是暴露了的这个密码恰好 B 站的账号在用;
    可是在我看来,自从 Google 推广两步验证以后,业界比较常见的做法就是把诸如手机这种可以随身携带的设备作为校验安全等级较高的行为的主要途径,其他途径都应该是尽量辅助,那么在我已经绑定了手机号码的这种情况下,修改密码却可以绕过手机验证,我确实认为是非常不安全的,虽然确实只要手机还在就可以把密码修改回来,但是这种安全策略不是特别合理
        4
    janus77   188 天前
    反正我就一个邮箱绑定……邮箱是 QQ+二步验证
    吐槽点:1.无验证直接添加修改密保; 2.完了以后密保的权限还>=邮箱,这简直是直接无中生有造出一个高权限角色来啊
        5
    EzBlue   186 天前
    为什么不申请个域名自己建一个邮箱系统呢。。。2333
        6
    hu5ky   185 天前
    不是你作为 B 站登录的账户怎么改?这点你说的我直接很懵逼,假如你把邮箱当做 B 站的登录账户,B 站并没有帮你新建一个账户的功能,也就是说你账户第一无二,就这一点就是不可能被更改的,因为 B 站的空间分配的 ID 没什么实际作用
        7
    bolide2005   185 天前 via Android
    @hu5ky 你到底在说什么
        8
    hu5ky   184 天前
    @bolide2005 意思就是 B 站不会资助帮你创建登录账户明白吗?你的登录账户就是你的邮箱,因为 B 站不会创建登录账户所以你的登录名即邮箱是不可更改的。除非进后台直接后台操作但是最多就是删除,明白???????
        9
    bolide2005   184 天前 via Android
    @hu5ky 你到底在说什么
        10
    Ghkitg   182 天前
    @hu5ky


    背景:B 站的帐号是邮箱注册的帐号,绑定了手机号却被修改密码,换绑邮箱

    推测:邮箱公司被脱库(*邮箱没有被盗),某人得到邮箱密码,并以该密码登入了 B 站的帐号,
    由于没有设置密保,某人设置了密保并以密保修改了密码.同时不知道是什么方法换绑了邮箱(漏洞?)

    结论:如果没有设置密保,就算绑定了手机号,邮箱也可以被(在登入后)修改密码.(前提是被盗密码,没有设置密保)
        11
    Ghkitg   182 天前
    这是我理解的...而关于'某人设置了密保' 再看一次似乎没有这回事?...
    所以题主的"设置密保"是另一个问题?

    1.不知道什么原因,在邮箱没有被盗,绑定了手机号的情况下也被修改了密码,换绑邮箱?
    2.被盗密码,没有设置密保,可以被修改密码.
        12
    Ghkitg   182 天前
    我的困惑是:

    1.关于'通过密保修改密码',在没登入情况下,只有邮箱,手机号可以重置.所以需要某人在登入后进行操作,因此这并没有什么安全问题吧?

    如 DOLLOR 说:B 站的权限等级应该是:手机、邮箱>密保、密码。同级可互改,高级可改低级,低级不能改高级。

    只要持有手机邮箱,在没被盗密码情况下,密保的作用是不重视的.
    在被盗密码的情况下,被修改密码也没有关系的.因为你可以重置密码,而对方就会失去登入帐号的方法.

    2.'邮箱登不上去,手机号登录了,发现邮箱也被换绑."
    在邮箱登不上去后,是有进行以手机号重置密码吗?
    会不会邮箱已经被盗了?

    3.有查看邮箱及 B 站的登入记录吗?
        13
    bolide2005   182 天前 via Android
    @Ghkitg
    1.这里的问题是,既然更改密码需要提供手机 邮箱 密保三个验证方式中的任意一种方式,是不是说明这三种都比密码具有更高的安全等级?如果是这样的话,在只提供密码的情况下就可以设置密保,这是不是存在问题・_・?换句话说,只要我拥有一个没有设置密保的账号的密码,我就可以直接修改密码,B 站为修改密码所设置的校验其实就已经失效了
    2.这是一个很迷的操作,我已经确定邮箱没有异常登陆的记录,基本可以确定邮箱没有丢失
    3.B 站的登陆记录里有异常登陆记录,也有因为设置邮箱而产生积分奖励的记录——这里很奇怪,这个账号当初是用邮箱注册的,按理只能够进行更换邮箱的操作,但这里出现的却是绑定邮箱奖励
        14
    Ghkitg   182 天前
    简单来说设置密保时理应是需要是手机 /邮箱校验的
        15
    bolide2005   182 天前 via Android
    @Ghkitg indeed,或者就取消密保这种验证方式
        16
    bxb100   182 天前 via Android
    @Ghkitg 这才是核心
        17
    xmumiffy   181 天前 via Android
    @hu5ky 邮箱作为登录名也可以改
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   实用小工具   ·   3182 人在线   最高记录 3762   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 16ms · UTC 03:34 · PVG 11:34 · LAX 20:34 · JFK 23:34
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1