用户密码重置常见安全问题与测试方法汇总

最新推荐文章于 2024-03-03 22:53:13 发布
最新推荐文章于 2024-03-03 22:53:13 发布
阅读量397 收藏
点赞数
分类专栏: 渗透测试 安全测试 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CoreNote/article/details/134434010
版权

重置密码功能是为了用户可以在忘记密码时重新设置账号凭证的一个有效途径,其本身并未安全问题,但是在重置密码中的验证机制不够完善也就造成了问题的出现,其最主要的原因是用户名,辅助凭证,辅助验证码没有进行统一验证。其可以导致用户账号丢失、信息丢失、财产损失等,对企业来讲,任意账号重置的漏洞将会丢失大量数据,失去用户信任,严重妨碍企业业务,带来巨大的财产损失。

密码重置流程

重置密码的过程,是证明身份并重新设置登录凭证的过程
Step 1:输入账号名以及注册账号时预留的辅助验证凭证(手机号/邮箱)
Step 2:后端服务向该用户绑定的手机号/邮箱等发送验证码,或重置连接(重置连接为了安全性一般具备时效性)
Step 3.0:用户输入验证码,证明操作者是账号所有者,后端进行重置密码
Step 3.1:用户使用重置连接,证明操作者是账号所有者,后端进行重置密码

常见问题汇总

任意验证码发送

当程序发送短信时没有将手机号/邮箱与账号进行匹配,就会导致任意验证码发送问题,攻击者可以用自己手机号码、邮箱收到的重置用验证码,用以重置其它用户的密码。或者利用此功能进行短信轰炸。

严重程度

测试方法

使用与账号不匹配的手机号/邮箱尝试接收验证码,查看是否接收成功,如果成功则存在问题。

修复建议

发送短信验证码时需要
出现阶段:Step 2:后端服务向该用户绑定的手机号/邮箱等发送验证码,或重置连接(重置连接为了安全性一般具备时效性)

任意重置连接发送

当程序发送重置连接时没有将手机号/邮箱与账号进行匹配,就会导致重置连接发送问题,攻击者可以用自己手机号码、邮箱收到的重置连接,用以重置其它用户的密码。或者利用此功能进行短信轰炸。

严重程度

测试方法

使用与账号不匹配的手机号/邮箱尝试接收重置连接,查看是否接收成功,如果成功则存在问题。

修复建议

发送重置内容需要验证重置凭证与账号匹配
出现阶段:Step 2:后端服务向该用户绑定的手机号/邮箱等发送验证码,或重置连接(重置连接为了安全性一般具备时效性)

重置连接过于简单

重置连接过于简单,则容易被攻击者猜测从而直接通过篡改的方式直接模拟其他账号的重置连接,从而达到重置其他账号的目的。

严重程度

测试方法

分析重置连接中是否有明确的用户名标识,或用户id的标识,如果有用户名标识,或id标识易于模拟则存在问题

修复建议

1、重置连接应为后端验证身份后生成的一条重置信息,重置信息保存在数据库或内存中,且具有时效性。单重置密码时先判断数据库或内存中是否存在此重置信息
2、重置连接需要进行加密处理,连接参数应为无法猜测的密文串,而非明文信息
出现阶段:Step 2:后端服务向该用户绑定的手机号/邮箱等发送验证码,或重置连接(重置连接为了安全性一般具备时效性)

最终的重置请求未验证身份(此处才是真正的任意密码重置漏洞)

最终重置请求没有验证用户身份信息。攻击者用自己的手机号码短信验证码走重置流程,最后一步重置请求抓包修改身份信息为其它用户的,从而进行其它用户密码的重置

严重程度

测试方法

1、观察最终的重置密码请求是否为用户名,辅助验证凭证(手机号/邮箱),验证码同时验证,具体关注点

  • 修改密码的请求中是否同时传递了,辅助验证凭证(手机号/邮箱),验证码
  • 辅助验证凭证(手机号/邮箱),验证码正确的情况下,将账号修改为攻击账号
修复建议

最终重置请求需要同步验证账号,凭证,凭证码的匹配情况
出现阶段:Step 3.0:用户输入验证码,证明操作者是账号所有者,后端进行重置密码

方寸明光
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
系列一、RuoYi前后端分离(登录密码加密)
仰望星空,脚踏实地!安全感是自己给的,努力才是一辈子的安全感。
05-27 1万+
RSAUtil中添加了@Component注解,generateKeyPair()构建秘钥对添加了@Bean注解,在项目启动时通过@Bean的方式将普通类实例化到Spring容器中,所以当系统启动后,每次调用接口得到的公钥&私钥是一样的,服务重启后,公钥&私钥重新生成。==========================O(∩_∩)O 后端修改over O(∩_∩)O==========================④、后端通过私钥对加密后的秘钥进行解密,验证密码。③、前端传输加密后的秘密给后端;
前后端分离------后端创建笔记(09)密码加密网络安全
weixin_54048131的博客
08-15 690
本文章转载于【SpringBoot+Vue】全网最简单但实用的前后端分离项目实战笔记 - 前端_大菜007的博客-CSDN博客仅用于学习和讨论,如有侵权请联系源码:https://gitee.com/green_vegetables/x-admin-project.git素材:https://pan.baidu.com/s/1ZZ8c-kRPUxY6FWzsoOOjtA 提取码:up4c。
web渗透测试----22、业务逻辑漏洞--(2)任意用户密码重置
七天
11-05 3682
业务逻辑漏洞----任意用户密码重置
前后端交互,修改密码校验
m0_56758388的博客
09-15 763
密码修改
21-逻辑越权
Karka_的博客
02-22 1728
通过低权限账户身份的账户,发送高权限账号才能有的请求,获取更高权限的操作。垂直越权测试思路:看看低权限用户是否能越权使用高权限用户的功能,比如普通用户可以使用管理员的功能。指相同权限下不同的用户可以互相访问水平越权测试方法:主要通过看看能否通过A用户操作影响到B用户用户身份验证的令牌——Token1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。
NCC1909系统管理员和普通用户密码重置与解锁oracle脚本.sql
10-22
NCC1909系统管理员和普通用户密码重置与解锁oracle脚本,登陆数据库用户,先执行生成密钥函数,然后执行更新脚本即可.
Oracle 数据库忘记sys与system管理员密码重置操作方法
09-09
主要介绍了Oracle 数据库忘记sys与system管理员密码重置操作,需要的朋友可以参考下
Juniper防火墙恢复默认出厂配置与重置root用户密码
12-23
Juniper 防火墙恢复默认出厂配置与重置root用户密码 Juniper 防火墙恢复默认出厂配置与重置root用户密码是指恢复Juniper 防火墙的出厂默认配置和重置root用户密码的过程。这是一个非常重要的安全操作,因为恢复默认...
解决重置Mysql root用户账号密码问题
09-09
在使用MySQL数据库时,有时可能因为忘记或者误操作导致root用户密码无法正常访问数据库,这时就需要重置MySQL root用户密码。本文将详细讲解如何解决这一问题。 首先,我们需要明确问题的描述:当尝试使用`...
linux系统root密码重置方法
06-08
linux系统root密码重置方法
理解这几个安全漏洞,你也能做安全测试
最新发布
2301_77645573的博客
03-03 667
​ 短信轰炸攻击是常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞 ​
WEB渗透测试之任意用户密码重置
壊壊的诱惑你的博客
07-24 1062
培训几天挖了好几个任意密码重置漏洞,现在总结一下以便以后在密码重置这条路走的更顺畅= = 通用流程 任意用户密码一般都是从忘记密码功能点开始,点开后如果发现验证是分步验证的,那么就可以继续搞了,进去后大部分都是第一步进行验证或者发短信验证,成功的话就进入下一步输入新密码的步骤,到这步的话就成功了。第一步输入正确的验证信息或者通过短信验证进入下一步的目的就是为了进入输入新密码的步...
实战| 任意用户密码重置漏洞
zkaqlaoniao的博客
12-18 546
这里只测了四位数,还是在验证没失效,其实从000000-999999 爆过去肯定就能过了【或者找个验证码字典,不过我觉得它肯定是纯数字】这里肯定是有逻辑漏洞危害的,因为密码找回我就爆破成功了。存在危害:只要logincode带着一个验证码md5加密,后面所有的登陆接口所有操作都可以无视验证码了—>这里的验证码功能等于没有,而且也没有ip访问限制,撞库就得死。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。上文拿到的手机号和对应的学号直接过了第一个验证。
忘记密码存在的漏洞
wugang8023的专栏
10-17 1343
一、常见找回密码的方式 很多网站提供忘记密码功能,往往会存在一些典型的安全问题,核心问题是忘记密码的流程跳过了身份验证。如果不考虑通过客服找回密码的话,通常网站设计有三种方式来认证用户:1、用户设定的安全问题。2、用户注册时留下的安全邮箱。3、给预留手机号发送验证码短信。 二、存在的问题分析及如何修复 1、密码问题是否明文显示在html中(过分鄙视用户智商,以为用户都不抓包都不分析表单参数,
密码找回流程绕过测试-业务安全测试实操(20)
AI
06-25 221
用户修改密码需要向服务器发送修改密码请求,服务器通过后再修改数据库中相应的密码,所以在测试中我们首先要收集三个步骤的请求接口,重点是收集到最后一步重置密码的接口,这样我们可以直接跳过凭证校验的接口去尝试直接重置密码。在下面的密码找回案例中,需要用户填写要找回的账号然后验证身份,之后才可以进入设置新密码的页面,我们需要对这个流程所有请求的接口做分析,找出最后一步重置密码的接口,接着使用URL测试是否可以跳过验证身份环节。经过测试以后发现不需要验证身份可以直接进入重置密码页面,如图 所示,
重置目标密码漏洞
m0_63028223的博客
05-15 146
验证码覆盖 .重置个人密码时,存在多种注入攻击方式。 重置密码常用手机验证码验证,这时候我们打开两个重置密码的页面,第一个用自己的账户,第二个用于目标账户。 现在目标页面输入账户后点击获得验证码。 再用自己账户也输入账户,点击获得验证码。 随后将自己账户的验证码,输入在目标页面。 服务器判断短信验证码是否正确的方法:判断POST传递的短信验证码和SESSION中传递的短信吗是否一致,如果一致则重置用户密码。当服务器端判断时,POST传递的code的值,第二个会覆盖第一个所接受的值,因此第二个的账
重置密码测试用例
HaoChaop的博客
02-28 1833
密码找回安全总结-业务安全测试实操(28)
AI
07-01 480
但在下一步操作的时候,只取了phone中的数字部分,然后再取出此号码的verifycode进行比对,比对成功则修改密码,如图 所示。撞库是黑客通过收集互联网已泄露的用户密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户名和密码组合。2012年,某社交软件的官网上新增了一个忘记账号或密码的链接步骤一: 单击忘记密码链接后,进入重设密码选择页,如图 所示。步骤四,仔细观察发现,密码重置页面URL中的加密验证字符串和之前返回数据包中的加密字符串是同一个,如图 所示。
修改密码-测试用例设计
热门推荐
wang_shiwei的博客
10-17 1万+
找回密码 -测试用例设计 页面如下:  找回密码  原密码:             新密码:              确认密码:           确定 取消       1、不输入旧密码,直接改密码----修改失败       2、输入错误的原密码----修改失败       3、新密码和确认密码不一
任意用户密码重置测试方法
05-19
如果您是在开发一个网站或应用程序,并需要测试用户密码重置功能,可以按照以下步骤进行测试: 1. 打开注册页面,使用一个测试账户进行注册并记录下该账户的用户名和密码。 2. 登录该测试账户,并前往账户设置页面。 3. 点击“忘记密码”按钮,进入密码重置页面。 4. 输入该测试账户的注册邮箱,点击“发送重置链接”按钮。 5. 在测试邮箱中查收重置链接邮件,并点击链接。 6. 进入重置密码页面,输入新密码并确认。 7. 返回登录页面,使用该测试账户的用户名和新密码进行登录,确保登录成功。 8. 重复以上步骤,测试不同账户的密码重置功能。 请注意,测试过程中不要使用真实的个人信息和密码,以免造成不必要的麻烦。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方寸明光

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值