一篇文章教你如何找出找回密码漏洞。(新手推荐)

最新推荐文章于 2022-07-05 16:30:04 发布
最新推荐文章于 2022-07-05 16:30:04 发布
阅读量326 收藏 2
点赞数
文章标签: 安全 web 安全漏洞 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41679427/article/details/110310274
版权
本文详细介绍了四种常见的找回密码漏洞:修改标志位、更改发送验证码的手机号、删除验证码验证及验证码爆破。通过实例展示了这些漏洞的利用过程,强调了网络安全中验证机制的重要性,提醒开发者注意加强安全措施。
摘要由CSDN通过智能技术生成

第一种,修改标志位返回标志位进行找回任意用户的密码。
1.在一些网站上我们注册一个账号,然后我们点击找回密码这个功能。
2.然后输入一个真实的验证码进行找回密码。再点击下一步的时候打开拦截包的功能。并点击下一步后把数据包发送到repeater 这个功能上,

3.然后我们看我我们发包后返回的一个显示情况。这时候我们能看到我们发送正确,可以看到返回包的status(状态)的参数,为1,

4.然后我们再修改验证码后再发送一次,这时我们可以看到我们的返回包的status(状态)的参数,为-1,所以我们考虑status是不是一个能不能过的标志位。

5.所以我们随便选择一个输入一个验证码,并点击下一步。然后拦截数据包

6.打开查看返回包的功能,然后放包

最低0.47元/天 解锁文章
CanMeng'Blog
关注
【精选】小白是如何挖漏洞的(技巧篇)
hackzkaq的博客
07-29 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 作者:掌控安全-山屿云 目录: 怎么找漏洞 找到后如何挖漏洞 关于通杀漏洞N day漏洞的挖掘 漏洞如何提交 每小结都有提供对应的案例,简直不要太nice! 这个月的SRC活动也快开始了,看到群里的小伙伴在问如何找漏洞,SQL注入的漏洞咋找,逻辑漏洞咋找,支付漏洞咋找,越权漏洞咋找,等等 其实这都一个道理,用谷歌语法,找通杀用fofa,这里演示几个类型的漏洞,其它的也是一个道理 第一个:SQL注入漏洞 AS:首先是SQL注入的,这个
新手必学的的web渗透测试查找漏洞(一)
broing55的博客
07-24 1389
拿到url时,只有登陆界面,我们可以做以下内容(皆是点到为止): 1.弱密码登录 尝试admin,123456这些弱密码口令,如果可以登陆进去,就获得了权限。 2.万能密码 3.burp抓包神器 可以查找到明文传输漏洞。 4.御剑扫描后台 直接输入url既可扫描 5.awvs扫描器直接扫除漏洞复现 通过扫描出的漏洞并进行相关url的验证 6.用户名枚举 用户名枚举可以查看有哪些用户储存在该服务器中。 ...
国外众测之密码找回漏洞
yggcwhat
07-05 1423
国外众测之密码找回漏洞
siteserver 忘记管理员账号密码怎么办
hyb3280660的专栏
09-14 783
siteserver 忘记管理员账号密码怎么办 打开数据库,找到siteServer数据表:siteserver_Administrator,如下图所示: 把Password字段改成你需要设置的明文密码,把PasswordFormat字段值改成Clear,保存后,重新打开网站后台即可使用此账号密码登录后台,SiteServer程序会自动处理你刚才添加的密码。 ...
DVWA系列之23 medium级别上传漏洞分析与利用
weixin_33812433的博客
01-06 167
下面再来分析medium级别的代码:这里分别通过“$_FILES['uploaded']['type']”和“$_FILES['uploaded']['size']”获取了上传文件的 MIME类型和文件大小。MIME类型用来设定某种扩展名文件的打开方式,当具有该扩展名的文件被访问时,浏览器会自动使用指定的应用程序来打开,如jpg图片的MIME为image/jpeg。因而medium与low的主要区...
截取无线网络数据包获取各类帐户密码
weixin_34254823的博客
04-20 570
  无线网络对大家最方便的就在于无线二字,不过同样的无线二个字,对于***而言则是具有莫大的诱惑力,其中截取他人电脑的无线上网数据包对于***更有难以抗拒的吸引力,在传统的有线网络中必须要与被黑电脑处在同一局域网中才有可能获取上网数据包,当网络可以无线后,这个对***最大的障碍就彻底被打破,因为在空中就有机会可以抓到他人电脑的上网数据包,进而分析从中找出有价值的各种信息、用户...
新手SRC漏洞挖掘经验分享
最新发布
08-21
新手SRC漏洞挖掘经验分享 SRC漏洞挖掘是一个复杂的过程,需要新手们具备一定的知识和经验。在这篇文章中,我们将分享...这篇文章提供了SRC漏洞挖掘的经验和知识,旨在帮助新手们更好地了解SRC漏洞挖掘的过程和技巧。
EDU漏洞挖掘建议与方法
08-14
本篇文章将介绍 EDU 漏洞挖掘的建议与方法,旨在帮助新手快速上手进行 EDU 漏洞挖掘。 一、信息搜集 信息搜集是 EDU 漫洞挖掘的第一步,也是最重要的一步。在信息搜集阶段,我们需要使用各种工具和技巧来收集育...
如何查找网站漏洞文件任意查看漏洞详情与利用
热门推荐
网站安全专家
07-17 1万+
在对网站程序代码的安全检测当中,网站文件任意查看漏洞在整个网站安全报告中属于比较高危的网站漏洞,一般网站里都会含有这种漏洞,尤其平台,商城,交互类的网站较多一些,像普通权限绕过漏洞,导致的就是可以查看到网站里的任何一个文件,甚至可以查看到网站的配置文件config.php conn.php等等。 我们SINE安全公司在对gitea开源程序代码进行网站安全检测的时候发现存在网站文件任意查看漏洞,没...
代码漏洞扫描常见漏洞
不积跬步无以至千里
12-05 6055
代码漏洞扫描常见漏洞 1.日志注入(Log Forging漏洞漏洞描述 将未经验证的用户输入写入日志文件可致使攻击者伪造日志条目或将恶意信息内容注入日志。 在以下情况下会发生日志伪造的漏洞: 数据从一个不可信赖的数据源进入应用程序。 数据写入到应用程序或系统日志文件中。 影响: 误导日志文件的解读; 如果日志文件是自动处理的,可能影响日志处理应用程序。 日志注入一般不会引起服务功能性的损害,而主要是作为一种辅助攻击手段 漏洞案例 例1:登录模块,会在日志里记录所有登录成果
修该Siteserver CMS的用户密码
wu19981228的博客
02-27 1415
1、登录phpMyAdmin 2、选择在安装时,所选的数据库(例如:cms),点击siteserver_adminstrator 3、选择password,进行修改 4、END
密码找回漏洞总结
weixin_33737774的博客
10-25 312
【转】http://blog.csdn.net/zaqwescsdn/article/details/46559171 1.伪造请求(未注册的情况下)在请求密码修改的过程中,修改账号的手机或邮箱等联系方式,在接受到验证码后进行密码修改。12OPPO修改任意帐号密码-2OPPO修改任意帐号密码-3修改了接受密码手机,并且通过对账户类型的修改绕过边界。2.使用正常账户请求修改...
网络渗透----验证码绕过、密码找回漏洞
EdisonJH的博客
03-13 1765
验证码绕过、密码找回漏洞 —笔记和实战 一、验证码作用 验证码(CAPTCHA)是:全自动区分计算机和人类的图灵测试的缩写、是一种区分用户是计算机还是人的全自动程序。 验证码可以防止:恶意破解密码、刷票、邮箱防止黑客对一个特定的程序暴力破解方式进行不断的尝试登录、实际上验证码是很多网站通行的方式、我们利用比较简易的方式实现了这个功能。 验证码五花八门:纯文本、点击字符、邮箱注册、滑块验证码 。 二...
网站安全检测之用户密码找回网站漏洞安全分析与利用
网站安全专家
08-20 857
我们SINE安全在对网站,以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞,有些简简单单的短信验证码可能就会给整个网站带来很大的经济损失,很简单的网站功能,比如用户密码找回上,也会存在绕过安全问题回答,或者绕过手机号码,直接修改用户的账户密码。 在短信炸弹,以及用户密码找回网站漏洞上,我们来跟大家分享一下如何利用以及如何防范该漏洞的攻击。 ...
渗透测试业务逻辑之密码找回测试
发哥微课堂
08-10 1902
0x00:前言 上周做渗透,有一个 sql 注入,负责安全审核的人给开发说你们的程序既然还有 sql 注入,我一年也看不见几个。这句话让我又再次深刻的认识到,渗透测试常规的一些注入跨站漏洞不如以前那么盛了,有点经验的开发写东西都会去考虑到了,再加上修复方法也在逐渐的完善,逻辑类的东西也应该并重的去测。 0x01:分类 我把逻辑类的问题大概总结了一下,大概可以分为十个模块,分别是登录认证模块测...
关于计算机安全漏洞问题,写一篇1000字的文章
02-06
计算机安全漏洞是当前信息时代面临的一大挑战,也是政府、企业和个人需要高度重视的问题。 一、计算机安全漏洞的类型 计算机安全漏洞可分为软件漏洞和硬件漏洞两种。 1、软件漏洞 软件漏洞指的是软件程序中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值