一、可能的泄露原因 #

1. 邮件传输/存储环节暴露：尽管网站采用SSL加密，但重置链接通过邮件发送时，可能在邮件服务商的中转节点、用户邮箱的存储端被批量抓取——尤其是如果用户邮箱地址已泄露至公开渠道或暗网，第三方扫描工具会针对性爬取邮件中的重置类链接。另外，若用户使用公共设备或未加密的邮箱客户端，链接也可能被本地恶意程序捕获。
2. 用户端环境被劫持：用户设备可能植入了木马、恶意浏览器扩展，当用户点击有效链接完成重置后，本地恶意程序会同步窃取链接并转发至多个控制IP；若用户在公共Wi-Fi环境下操作，即使网站用SSL，也存在被中间人通过SSL剥离、伪造证书等方式捕获链接的风险。
3. 链接本身的可访问性特性：当前采用GET请求传递重置参数，这类链接极易被爬虫、扫描器直接识别并调用——只要链接被泄露，无需额外构造请求即可发起无效调用。

二、针对性防范措施 #

1. 重构重置请求逻辑 #

• 将重置链接的GET请求改为POST请求：要求用户点击链接后跳转至重置页面，再通过表单提交POST请求完成操作，避免链接被直接抓取后即可发起调用。
• 为重置令牌添加双重约束：一是设置短有效期（如10-15分钟），二是绑定用户点击链接时的IP/UA特征（可允许小范围IP变动，避免用户网络切换导致失效），即使链接泄露，也大幅降低被滥用的概率。

2. 强化邮件安全传递 #

• 强制邮件传输全程加密：确保网站邮件服务器仅使用SMTP TLS发送邮件，避免明文传输环节泄露链接。
• 优化邮件内容呈现：不在邮件正文中直接展示完整链接，改为提示用户复制链接至浏览器，或设计带前端验证的跳转按钮（如点击按钮时需简单验证，例如输入邮箱后两位）。
• 增加安全提示：在邮件中明确告知用户，完成密码重置后立即删除邮件，且不要在公共设备/网络下操作重置流程。

3. 提升令牌与存储安全 #

• 确保重置令牌的高熵性：使用至少128位的随机字符串生成令牌，避免被暴力猜测。
• 令牌哈希存储：和用户密码一样，将重置令牌的哈希值存储在数据库中，而非明文——即使数据库被非法访问，攻击者也无法直接获取有效令牌。

4. 完善监控与告警机制 #

• 建立异常调用阈值告警：例如1分钟内同一令牌被5个以上不同IP调用时，立即触发告警，便于及时响应。
• 细化日志维度：记录所有重置请求的IP、UA、时间戳、请求状态，为溯源分析提供完整数据支撑。

5. 用户端安全引导 #

• 在网站重置流程中添加安全提示，引导用户检查浏览器恶意扩展、定期查杀设备病毒，避免在公共网络环境下进行敏感操作。

内容的提问来源于stack exchange，提问作者devo96