聊聊“密码找回” · WEB 安全

最新推荐文章于 2022-04-24 08:19:20 发布
最新推荐文章于 2022-04-24 08:19:20 发布
阅读量950 收藏
点赞数

大部分网站为了防止用户遗忘密码,提供了找回密码的功能。常见的找回密码方式有:邮箱找回密码、根据密码保护问题找回密码、根据手机号码找回密码等。虽然这些方式都可以找回密码,但实现方式各不相同。

其实无论是哪种密码找回方式,在找回密码时,除了自己的用户密码,如果还能找回其他用户的密码,就存在密码找回漏洞。密码找回漏洞在逻辑漏洞中占了的比例比较大。测试密码找回漏洞与其他逻辑漏洞的方法相同。其中必经的两个步骤是:熟悉业务流程(密码找回过程)与对流程中的 HTTP 请求分析。本场 Chat 分享会以一些互联网经典案例做讲解,具体内容包括:

  • 用户凭证暴力破解
  • 返回凭证
  • 邮箱弱 token
  • 用户凭证有效性
  • 重新绑定

实录摘要:

  • 密码找回怎么去利用到实战中,怎么去培养这样的思维?
  • 如果是腾讯 QQ 这种需要验证手机才能登录的账号,怎么办?
  • 通过撞库获取的账号密码是怎么一回事?
  • 找回密码时有个提示检测是否处在安全环境,其后面的逻辑是怎样的?
  • 密码找回,比较合理或者相对安全的实现思路是什么?
  • 除了这种逻辑漏洞,其他可能造成用户账户不安全的有哪些?
  • 遇到漏洞问题,请问这种情况下用户该怎么防范?
  • 找回密码这个功能要安全,有什么方法不被破解有代码分享或者文章也行?
  • 公众号对接的 Web APP 怎么实现记住密码?下次免登录吗?
  • 相关分享链接:http://gitbook.cn/gitchat/activity/596c80b647bdb7555aaf07c2?utm_source=gitchatseo
AI100_小助手
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
汽车网络安全随便聊聊
10-19
"汽车网络安全随便聊聊" 本文的主要目的是讨论汽车网络安全的概念和技术,特别是汽车行业的特点和挑战。在讨论中,我们将从基本概念开始,包括功能安全和网络安全的定义和区别,然后讨论网络安全防护的目标和方法,...
聊聊Python之Web框架Djiango
12-21
Python中的Django是一个强大的Web开发框架,它遵循模型-模板-视图(MTV)设计模式,极大地简化了Web应用程序的构建过程。本文将深入探讨如何使用Django框架进行Web开发,包括项目的创建、应用的建立、数据库的配置...
密码找回
lizhi200404520的专栏
04-09 796
CSDN找回密码好方便,呵呵
简单聊聊加密、口令的问题——成为黑客的理论基础
依然风 | ios
03-22 1602
转载请注明作者:欧阳洋葱——也就是我本人!       有很多人常把口令和加密混为一谈,口令也可以叫做密码,而加密则是指对信息进行某种策略,把信息变成无可识别的符号或乱码,而要使这些乱码可见,则使用解密方法。       我学了三个月的网络基础知识,有兴趣的同人可以来看看加密以及口令对信息的作用。       有很多人说:我搞不清别人怎么来窃听我和其他人或网站的通讯。比如我和某个在qq上聊天
聊聊密码存储中的安全问题
weixin_33690963的博客
09-20 340
今天谈一个很重要,但是大家平时并不上心的话题:密码存储。无论是过去的桌面网站还是移动互联网时代的App开发,只要有用户登录环节,就会牵涉到如何安全的存储用户密码的问题。最近几年频发的各种密码门事件,对用户或者公司造成了巨大的损失和负面影响。这种情形任何公司都不希望发生在自己身上,因此选择安全地存储密码的策略显得十分必要。首先,我们先梳理一下可以用作密码保护的算法, 显然,使用明码一定是一个很糟糕的...
聊聊如何设计安全web密码
janguo_qql的专栏
12-26 1076
web开发中,用户账户系统安全性直接关呼用户隐私,通常我们为用户提供了一个登录页面来进入系统,用户只要提供正的账号和密码,就可以进入系统内部。所以密码的安全性是我们首先要考虑的。首先我们来看一下,密码面临的威胁: 众所周知目前破解密码的方式主要有:字典攻击与暴力攻击、查表法、反向查表法、彩虹表等。 字典攻击与暴力攻击同属暴力破解范筹,其特点是适合简单的、常规性密码的破解,破解速度慢,但无法避
基于邮箱的密码找回的逻辑设计
baowei_0915的博客
06-11 910
摘要:密码找回对于一个成熟的系统来说,密码找回是必不可少的。但是如果密码找回的逻辑没有处理好,很可能导致用户的密码被他人修改的风险。一、获取用户邮箱。通过一个页面实现邮箱的获取,可以通过添加一些加油噪音的数字验证码来防止非人为的找回密码的操作。...
24-聊聊短信验证码安全1
08-03
1、手机木马:主要集中在 Android手机利用钓鱼或漏洞方式手机被下载安装APK木 2、蜂窝网络GSM 嗅探:伪基站和 GSM 嗅探,目前3G 的普及问题,当
115-聊聊CTF比赛1
08-03
CTF的套路太多,导致有可能一个实战很厉害的人去玩CTF未必会得心应手,甚至会不知道从何下手,CTF是竞赛,他会有各种玩法或者说套路,但是实战的话完全靠的就是经
聊聊收纳与交互设计
02-21
前言:上次与朋友在火车上闲聊,聊到最近的工作。他们正在做一个面向国外用户的App。首页简单清爽,但是从中国人的视角来看,会觉得清汤寡味,而果不其然,他告诉我,最近团队正在打算改版,重新设计首页,“嗯,会...
密码找回逻辑漏洞总结
swordheart的博客
04-24 1248
0x00 背景介绍 请注意这两篇文章: 密码找回功能可能存在的问题 密码找回功能可能存在的问题(补充) 距离上两篇文档过去近半年了,最近整理密码找回的脑图,翻开收集的案例,又出现了一些新的情况,这里一并将所有见到的案例总结并分享给大家,在测试时可根据这个框架挖掘! 0x01 密码找回逻辑测试一般流程 首先尝试正常密码找回流程,选择不同找回方式,记录所有数据包 分析数据包,找到敏感部分 分析后台找回机制所采用的验证手段 修改数据包验证推测 0x02 脑图 0x03 详情 用户凭证暴力
GitChat · 安全 | 聊聊密码找回
weixin_34324081的博客
08-15 291
来自 GitChat 作者:汤青松更多使用技术,尽在微信公众号:GitChat技术杂谈 进入 GitChat 阅读原文 WEB安全用户密码找回多案例安全攻防实战 这次文章以wooyun的密码找回代表性漏洞作为案例来讲解,漏洞的描述会通过提交漏洞的原描述加上我的理解一一列出,通过密码找回的过程描述,得出从漏洞的发现到漏洞的分析。 密码找回逻...
通过邮箱找回密码的实现
zhangzhifei1991的专栏
09-17 3701
找回密码的实现方式 (2009-12-23 14:34:34) 转载▼ 标签: it 分类: 总结心得 现在的论坛、社区等需要注册的地方都有个功能,就是找回密码,现在看看我总结的实现思路。 首先,用户通常用邮箱注册的账号,那么找回密码就是把密码发到它邮箱中去,就有以下几种流程: 第一种办法: 1.用户填写用户名和注册邮箱
找回密码功能逻辑
welcome to daijiguo's blog
03-03 7221
1.表单输入注册时的邮箱; 2.验证用户邮箱是否正确,如果用户邮箱不存在网站的用户表中,则提示用户邮箱未注册; 3.发送邮件,如果用户邮箱确实存在用户表中,则组合用于验证用户信息的字符串,并构造URL发送到用户邮箱中;(验证的目的,是确保只有用户邮箱的URL可以跳转到重置密码页面。如果不验证,黑客可以模仿URL直接修改用户密码。) 4.用户登录邮箱收取邮件,点击URL链接到网站验
密码找回漏洞总结
zaqwescsdn的博客
06-19 2916
概述大部分是乌云知识库中的内容,已经总结的很好了,再按照自己的思路过一遍。 1.伪造请求(未注册的情况下)在请求密码修改的过程中,修改账号的手机或邮箱等联系方式,在接受到验证码后进行密码修改。 OPPO修改任意帐号密码-2 OPPO修改任意帐号密码-3 修改了接受密码手机,并且通过对账户类型的修改绕过边界。2.使用正常账户请求修改获取token 爆破(绕过次数验证) 当当网任意用户密码修改漏洞
Nessus忘记用户名密码怎么办
热门推荐
ddkking的博客
11-21 1万+
centos7环境下 Nessus安装以后长时间没用,突然忘记用户名跟密码,简单的命令修改密码: 1. 跳转到Nessus目录 cd /opt/nessus/sbin/ 2. 列出所有用户 sudo ./nessuscli lsuser 3. 更新密码 sudo ./nessuscli chpasswd XXXX(要跟新密码的用户名) 等到提示 【New pa
找回密码功能设计
家有代码初写成 的博客
09-01 1万+
背景 一个大型网站平台,用户自主注册难免会有用户忘记密码,因此需要提供找回密码功能。 本方案是通过邮箱找回密码。  需要的表结构 找回密码表(FindPwdRecord): 字段名 类型 描述 备注 ID string 主键  ...
Web上的用户登录功能安全
LynnZhang的博客
10-09 3658
Web上的用户登录功能安全 转载自:http://www.daimami.com/web/217218.htm 你会做Web上的用户登录功能吗?       Web上的用户登录功能应该是最基本的功能了,可是在我看过一些站点的用户登录功能后,我觉得很有必要写一篇文章教大家怎么来做用户登录功能。下面 的文章告诉大家这个功能可能并没有你所想像的那么简单,这是
2023聊聊web前端的昨天今天和明天
最新发布
09-18
昨天,Web前端是一个非常基础的领域,主要关注页面的布局和样式。在这个阶段,主要使用HTML和CSS来创建网页,JavaScript主要用于增加一些动态效果。当时,前端开发主要集中在PC端的网站上。 今天,Web前端发生了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值