- 综合排序
- 最热优先
- 最新优先
- 来自专栏Live专区
密码找回插件LoveKKForget
插件简介 作为一个博客程序,Typecho竟然没有密码找回功能,可以说很是意外!也有很多网友对这个功能进行过增加,但大多需要对内核代码进行修改,这样对以后的升级很不友好。 插件功能很简单,就是一个密码找回的功能,同时考虑到smtp发信的丢信率等因素,将邮件发送改为了使用SendCloud进行发送。
2.1K20编辑于 2022-08-16 - 来自专栏站长的编程笔记
微擎后台用户密码找回
微擎后台登录密码忘了登不上去 ---- 站长源码网 2.
3.5K30编辑于 2023-02-02 - 来自专栏kali blog
常见ZIP密码找回工具
项目地址:https://github.com/The404Hacking/ZIP-Password-BruteForcer
2.1K10编辑于 2025-07-28 - 来自专栏yuancao博客
逻辑漏洞之密码找回漏洞(semcms)
什么是密码找回漏洞 利用漏洞修改他人帐号密码,甚至修改管理员的密码。 一般流程 1 首先尝试正常找回密码流程,选择不同的找回方式,记录所有数据包 2 分析数据包,找到敏感部分 3 分析后台找回机制所采用的验证手段 4 修改数据包验证推测 可能产生该漏洞的情况 脑洞图 1.用户凭证暴力破解 1.1 密码找回的凭证太弱,如只需要填入一个四位或者六位的纯数字,就可以重置密码,导致可以暴力破解。 2.返回凭证 2.1 url返回验证码及token(找回密码凭证发到邮箱中,url中包含用户信息以及凭证,但是这个凭证可以重置任何用户) 2.2 密码找回凭证在页面中(通过密保问题找回密码、找回密码的答案在网页的源代码中 这里我设置新密码是123456 抓包,将uid改为1(admin的uid值为1;aaaaa的uid为2 。
5.4K33发布于 2020-09-08 - 来自专栏kali blog
当今常见密码找回的手段
这是一种最早地获取密码的方法。通过键盘记录木马。将所有的键盘操作保存为txt,并定时将其发送到指定邮箱中。虽然这种方法已基本过时,但仍有很多改良版,并由PC端过渡到手机端。危害比较大!
52810编辑于 2025-07-28 - 来自专栏kali blog
密码找回工具hydra 食用指南
在kali中,hydra已经默认安装。我们终端输入命令hydra即可运行。当然其他系统也可以安装。
65010编辑于 2025-07-28 - 来自专栏kali blog
WiFi密码找回工具airgeddon使用 (图文+视频)
每个菜单的大体意思为: 序号 菜单 说明 0 Exit script 退出脚本 1 Select another network interface 选择其他网卡 2 Put interface in attacks menu DoS(洪水) 攻击 5 Handshake/PMKID tools menu 握手/PMKID攻击(成功率100% 但必须有该漏洞才可以) 6 Offline WPA/WPA2 About & Credits / Sponsorship mentions 关于 12 Options and language menu 其他选项和语言设置(没有中文) 开启网卡监听并扫描网络 首先输入2开启网卡为监听模式
1K10编辑于 2025-11-17 - 来自专栏一日一工具
vue + flask实现邮件密码找回功能
vue + flask实现邮件密码找回功能 跟大家聊聊前后端分离情况下的密码找回功能,针对vue+flask的实现在Google上搜索并没有一个很明确的文档,所以在此记录下自己的操作经历。 效果演示 1、判断是否未输入就提交 2、这里做了邮箱自动补全功能,密码手动输入邮箱后缀出错。 ? 1、这里做了密码复杂度的判断 2、做了两次输入密码是否一致判断 ? 密码找回的逻辑 ? 引用链接 [1] 密码找回逻辑图片: https://dev.to/paurakhsharma/flask-rest-api-part-5-password-reset-2f2e
2.2K20发布于 2020-08-13 - 来自专栏小文博客
Vultr忘记密码找回及重置方式
f 其他系统 官方说明文档:https://www.vultr.com/docs/boot-into-single-user-mode-reset-root-password Vultr(其他服务器)密码找回
3.9K50发布于 2018-06-25 - 来自专栏NetCore 从壹开始
【Blog.Idp开源】支持在线密码找回
01 密码找回 认证中心绕不开的话题 Architecture Design. 开源这么久了,一直没有机会去处理密码找回这个需求,官方当然也提供了各种扩展方法,但是这些扩展都不是最重要的,那找回密码什么是最重要的呢?——答案就是服务器和客户端的通讯。 常见的密码找回很简单,要么发短信,要么发邮件,只有这样才能保证信息的安全和稳定性,但是我毕竟没有这些额外的付费服务。 当然还有其他的办法,就是使用类似对接QQ、微信、GitHub、Google这种第三方认证平台做个二次登录,来保证唯一性,把密码找回转嫁到第三方平台上,这种方案我个人感觉不太喜欢,既然自己已经做认证平台了 %2B8LsHjn%2Fkm2A%2F2BrMM%2FzuZfypjHqlMD%2F%2BgAHwWQqwx9Eq77%2BFpEauVUE7D1Fw%3D%3D 这种肯定是不行的,所以需要对url进行加密
92020编辑于 2022-04-11 - 来自专栏kali blog
密码找回神器Ffuf上手指南
username=admin&password=FUZZ&Login=Login" -H "Cookie: security_level=0; security=low; PHPSESSID=n2r3b2dfmqheld3gjf81ol0756
73410编辑于 2025-07-28 - 来自专栏kali blog
一款Word密码找回工具
Advanced Office Password Recovery是一款专业免费的word密码破解工具,Advanced Office Password Recovery内置暴力破解、字典攻击、单词攻击、掩码破解、组合破解、混合破解等多种解码模式,能够处理微软公司的各种常见文档格式。
1.1K10编辑于 2025-07-28 - 来自专栏kali blog
Windows和Linux下压缩包密码找回工具
fcrackzip -b -c1 -v -u kali.zip 结果很快,不到2s就出来了。
1.3K10编辑于 2025-07-28 - 来自专栏日常撸知识
学习Django,用户个人系统的密码找回功能的实现
下面学习如何实现邮件密码找回功能。 在url.py中已经设置了findpassword链接,然后在views.py中编写findpassword视图函数: ? 邮箱为例,在账户的设置中,找到POP3/IMAP/SMTP/Exchange/CardAV/CalDAV服务,开启其中的POP3/STMP服务,注意在开启服务时,会有一个客户端授权码,请记住该密码,它时2用于第三方邮件客户端的密码
1.2K10发布于 2019-07-03 - 来自专栏许都博客
WordPress 禁用密码找回邮件或修改该邮件内容
WordPress 6.0 新增了两个和密码找回邮件相关的钩子: send_retrieve_password_email可用于过滤是否发送找回密码邮件 retrieve_password_notification_email apply_filters( 'retrieve_password_notification_email', $defaults, $key, $user_login, $user_data ); 禁用密码找回邮件 以下代码可以全局禁用发送密码找回邮件,也可以按照提示通过 $user_login, $user_data 两个参数来添加限制条件: function wpdax_disable_retrieve_password_email false; } add_filter( 'send_retrieve_password_email', 'wpdax_disable_retrieve_password_email', 10, 2 ); 修改密码找回邮件的内容 retrieve_password_notification_email 承接的 $defaults 内容包括邮件的收件人、标题、信息和Headers头部信息: $defaults
64730编辑于 2022-06-05 - 来自专栏FreeBuf
任意用户密码重置(一):重置凭证泄漏
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面。其中,密码找回功能是重灾区。 登录邮箱查看网站发过来的密码找回邮件: ? 发现两者一致,那么,几乎可以确认服务端将密码找回的校验码泄漏至客户端,可导致任意账号密码重置问题。 尝试找回普通账号的密码。 isVerify=eWFuZ3lhbmd3aXRoZ251fHlhbmd5YW5nd2l0aGdudUB5ZWFoLm5ldHw2MzQyNDkw&PassPhrase=01e4f6d4ede81b2604dc320bc4e3a6e8 输入用户名、密码提交,正常完成密码找回逻辑,从交互包中获取服务端下发的重置 token: isVerify=Y2hlbmNodWFufGNoZW5jaHVhbkBxcS5jb218MTE2MDIzNw= isVerify=Y2hlbmNodWFufGNoZW5jaHVhbkBxcS5jb218MTE2MDIzNw==&PassPhrase=cbf0160662358808f3586868f041cbaa
4.5K60发布于 2018-02-24 - 来自专栏FreeBuf
任意用户密码重置(三):用户混淆
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。 密码找回页面 https://my.xxxx.com/pwd,用攻击者账号 yangyangwithgnu 走完密码找回全流程。 输入用户名和图片验证码后提交: ? 验证为有效用户名后,系统提供手机、邮箱两种密码找回方式,选用邮箱方式: ? 登录邮箱查收重置验证码: ? 输入重置验证码: ? 进入新密码页面,输入后提交,拦截请求如下: ? 这个请求,用于重置账号 yangyangwithgnu 密码,那么服务端如何知道该重置 yangyangwithgnu 而不是 yangyangwithgnu2、yangyangwithgnu3 呢? 密码找回页面 http://www.xxxx.cn/getpass.html,用攻击者账号走完密码找回全流程,涉及三步请求,依次为:验证用户名是否存在、获取短信验证码、提交短信验证码和新密码。
2.2K50发布于 2018-02-23 - 来自专栏网站漏洞修补
网站安全漏洞检测之用户密码找回网站漏洞的安全分析与利用
安全在对网站,以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞,有些简简单单的短信验证码可能就会给整个网站带来很大的经济损失,很简单的网站功能,比如用户密码找回上 在短信炸弹,以及用户密码找回的网站漏洞上,我们来跟大家分享一下如何利用以及如何防范该漏洞的攻击。 下一篇文章跟大家分享用户密码找回漏洞的利用与分析。
2.4K10发布于 2018-12-12 - 来自专栏FreeBuf
任意用户密码重置(四):重置凭证未校验
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。 在日常对密码找回功能的攻击中,我的大部份精力聚焦在是否可以暴破验证码、是否可以劫持接收验证码的手机号或邮箱、是否可以混淆重置其他账号、是否可以绕过验证步骤、甚至是猜测重置 token 的生成规律等攻击方式上 案例一:因服务端未校验 token 导致可重置任意账号密码 密码找回页面 http://www.omegatravel.net/users/retrievePassword/ 用攻击者账号 yangyangwithgnu @yeah.net 进入密码找回全流程,输入图片验证码后提交: ? 案例二:可枚举无密保的用户名,导致任意密保答案均可重置密码 在密码找回页面 http://www.hzpzs.net/u_findPassword.asp 输入有效用户名 yangyangwithgnu
3.3K80发布于 2018-03-22 - 来自专栏FreeBuf
全程带阻:记一次授权网络攻防演练(上)
正准备启动信息收集工作,页面上有三个地方引起了我的注意:.do 的接口地址、登录功能、密码找回功能。 审查 .do 接口。看到 .do 自然联想到 struts2 命令执行全家桶。 应答标志为 2,第二次重发,应答标志变为 1: ? 审查密码找回功能。 访问密码找回页面: ? 拦截密码找回的请求: ? 从应答描述可知,提示该用户不存在,重发几次,结果相同,说明图片验证码未生效,好了,第一个洞,用户名可枚举。 QAZ2wsx,nana、admin 无解,暂时放下。第三个漏洞,业务系统存在弱口令账号 liufei。 低权进站 通过 liufei / !QAZ2wsx 登录网站: ?
2.1K40发布于 2019-08-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号