密码重置测试流程

最新推荐文章于 2024-01-22 11:38:44 发布
最新推荐文章于 2024-01-22 11:38:44 发布
阅读量941 收藏
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p656456564545/article/details/47394095
版权

1:短信验证码比较短,可以爆破


2.码返回在数据包中。或者可以修改返回数据库进行伪造

http://www.wooyun.org/bugs/wooyun-2015-0131824


3:session相关问题.

用自己的验证码填充别人的?(猜测用户session绑定的问题)http://www.wooyun.org/bugs/wooyun-2010-0131635

止于重置页面,然后换号修改流程http://www.wooyun.org/bugs/wooyun-2010-0130425

                                                            http://www.wooyun.org/bugs/wooyun-2010-0127897

                                                            http://www.wooyun.org/bugs/wooyun-2010-0120422

                                                            http://www.wooyun.org/bugs/wooyun-2010-0120963

                                                             http://www.wooyun.org/bugs/wooyun-2010-0120963






4:跳过验证步骤,直接访问后续页面。

http://www.wooyun.org/bugs/wooyun-2010-0130363


5:邮箱发送token来进行重置,可能存在越权修改的问题.

http://www.wooyun.org/bugs/wooyun-2010-0122083


6:最后一步可能会发生的越权(目标地址的修改)

http://www.wooyun.org/bugs/wooyun-2010-0128517

爬虫仔蛙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
测试用例(注册、登陆和修改密码)
01-12
注册、登陆和修改密码测试用例范例
密码测试用例
HaoChaop的博客
02-28 1824
密码修改页面如何测试
qq_30020875的博客
10-08 846
实际测试中可能只用到其中几条而已,比如银行卡密码的修改,就不用考虑英文和非法字符,更不用考虑那些TAP之类的快捷键。而有的需要根据需求具体分析了,比如连续出错多少次出现的提示,和一些软件修改密码要求一定时间内有一定的修改次数限制等等。 1.不输入旧密码,直接改密码 2.输入错误旧密码 3.不输入确认新密码 4.不输入新密码 5.新密码和确认新密码不一致 6.新密码中有空格 7.新密码为空 8.新密...
公用测试点--忘记密码/找回密码
最新发布
weixin_49974303的博客
01-22 563
忘记密码密码测试
测试忘记密码密码接口出错
a741504174的博客
03-23 333
检查错误信息 org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:88) org.springframework.web.filter.OncePerRequestFilter.doFilt...
Mysql 8.0安装及密码问题
09-09
MySQL 8.0是当前最新的稳定版本,提供了一系列性能改进和新特性。...如果你在安装或密码过程中遇到任何问题,可以查阅MySQL的官方文档或寻求社区的帮助。记住,不断学习和实践是掌握数据库管理的关键。
织梦后台密码
09-05
总的来说,织梦后台密码是一个简单但关键的过程,它依赖于正确上传和使用文件。在日常管理中,定期更换密码并保持良好的密码管理习惯是非常要的,以保护你的网站不被未经授权的访问者侵入。同时,备份你的...
mac下mysl8.0.11密码的方法
09-09
如果你被提示输入密码,但不确定或忘记了,那么你需要跳过这个步骤,直接进行密码。 3. **查看当前用户信息**: 在MySQL客户端中,运行以下SQL查询来查看当前root用户的详细信息: ```sql SELECT host, ...
php整站程序管理员密码
09-10
首先,我们来看一下通用的PHP密码方法。大多数PHP应用都使用某种形式的用户认证系统,如基于session或cookie的登录状态管理。在这些系统中,管理员的密码通常以哈希形式存储在数据库中。当需要密码时,我们...
MySQL安装和密码.pdf
04-29
总之,MySQL的安装和密码是一个涉及多步骤的过程,需要对Linux系统管理有基本了解,并熟悉MySQL的命令行操作。通过遵循上述步骤和使用提供的资源,可以顺利地在Linux环境中安装MySQL并管理其安全设
任意用户密码的原因和测试方法
黑面狐
05-14 1135
1、验证码不失效。造成的原因:找回密码的时候获取的验证码缺少时间限制仅值判断了验证码是否正确未判断验证码是否过期测试方法:通过美剧找到真正的验证码输入验证码完成验证2、验证码直接返回造成原因:输入手机号后点击获取验证码,验证码在客户端生成,并直接返回在response以方便对接下来的验证码进行比对测试方法:直接输入目标手机号,点击获取验证码,并观察返回包即可。在返回包中得到目标手机号获取的验证码,...
密码找回流程绕过测试-业务安全测试实操(20)
AI
06-25 219
用户修改密码需要向服务器发送修改密码请求,服务器通过后再修改数据库中相应的密码,所以在测试中我们首先要收集三个步骤的请求接口,点是收集到最后一步密码的接口,这样我们可以直接跳过凭证校验的接口去尝试直接密码。在下面的密码找回案例中,需要用户填写要找回的账号然后验证身份,之后才可以进入设密码的页面,我们需要对这个流程所有请求的接口做分析,找出最后一步密码的接口,接着使用URL测试是否可以跳过验证身份环节。经过测试以后发现不需要验证身份可以直接进入密码页面,如图 所示,
逻辑漏洞——忘记密码密码(案例分析、原理)
m0_61506558的博客
08-15 1543
输入手机号、获取短信验证码、输入错误的短信验证码1234后提交。那么,即便我没有短信验证码,通过将服务端下发给客户端的校验状态从“失败”改为“成功”也能成功找回账号密码。在第二步,校验短信验证码是否有效的结果应保存在服务端,某些网站未在服务端保存而是。,将服务端下发给客户端的校验状态 code 改为“0000”,可以其他用户密码。的状态(当然我们可以通过修改前端的代码让这个用户名变为可以修改的状态)那么,更改应答包中的状态值,可其他用户的密码。简单分析发现,校验通过时服务端并未向客户端。....
修改密码-测试用例设计
wang_shiwei的博客
10-17 1万+
找回密码 -测试用例设计 页面如下:  找回密码  原密码:             新密码:              确认密码:           确定 取消       1、不输入旧密码,直接改密码----修改失败       2、输入错误的原密码----修改失败       3、新密码和确认密码不一
安全测试===任意用户密码的10种常见姿势
weixin_33694172的博客
03-20 253
https://www.ichunqiu.com/course/59045 http://www.freebuf.com/articles/web/164510.html http://www.freebuf.com/articles/web/160883.html http://www.freebuf.com/articles/database/161495.html http:/...
修改密码测试用例(web)
热门推荐
小白裸奔
08-25 2万+
先看图和要求: 要求:英文或英文数字组合,8-20位,区分大小写 针对此修改密码的页面,测试用例(效率高+覆盖全+逻辑明确)如下: 1.冒烟测试,选择正确的输入,可修改成功: (1)新密码为符合要求的非最多和最少的字符(数字+英文),确认密码一致,且旧密码正确 (2)新密码为符合要求的最少字符(数字+英文),确认密码一致,且旧密码正确 (3)新密码为符合要求的最多字
WEB渗透测试之任意用户密码
壊壊的诱惑你的博客
07-24 1055
培训几天挖了好几个任意密码漏洞,现在总结一下以便以后在密码这条路走的更顺畅= = 通用流程 任意用户密码一般都是从忘记密码功能点开始,点开后如果发现验证是分步验证的,那么就可以继续搞了,进去后大部分都是第一步进行验证或者发短信验证,成功的话就进入下一步输入新密码的步骤,到这步的话就成功了。第一步输入正确的验证信息或者通过短信验证进入下一步的目的就是为了进入输入新密码的步...
4.4.9-测试密码更改或功能
qq_44232452的博客
10-18 55
对于任何要求用户使用密码进行身份验证的应用程序,必须有一种机制,用户在忘记密码时可以新获得对其帐户的访问权限。虽然这有时可能是一个涉及联系网站所有者或支持团队的手动过程,但通常允许用户执行自助密码,并通过提供其他一些身份证明来新获得对其帐户的访问权限。由于此功能提供了破坏用户帐户的直接途径,因此安全实施至关要。
忘记密码 密码实现总结
JamesPxy的专栏
03-01 4772
1.首先需要明确接口,确定找回密码流程以及各种存在的用例2.DigitsKeyListener 通过java代码来对TextView设KeyListener KeyListener是一个接口,提供了对输入键盘按键的监听 InputFilter是一个接口,提供了对字符的过滤 android提供了实现了KeyListener和InputFilter的NumberKeyListener,而Dig
任意用户密码测试方法
05-19
如果您是在开发一个网站或应用程序,并需要测试用户密码功能,可以按照以下步骤进行测试: 1. 打开注册页面,使用一个测试账户进行注册并记录下该账户的用户名和密码。 2. 登录该测试账户,并前往账户设页面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值