- 综合排序
- 最热优先
- 最新优先
- 来自专栏Live专区
密码找回插件LoveKKForget
插件简介 作为一个博客程序,Typecho竟然没有密码找回功能,可以说很是意外!也有很多网友对这个功能进行过增加,但大多需要对内核代码进行修改,这样对以后的升级很不友好。 插件功能很简单,就是一个密码找回的功能,同时考虑到smtp发信的丢信率等因素,将邮件发送改为了使用SendCloud进行发送。
2.1K20编辑于 2022-08-16 - 来自专栏站长的编程笔记
微擎后台用户密码找回
下载 password.php, 文件已放入百度网盘 ---- 链接: https://pan.baidu.com/s/16S6LdxpfzhOmIiF_cbwLnA 提取码: st4g 3. 上传到微擎根目录,访问该文件,按照提示重置密码即可 4. 密码修改成功,删除 password.php,使用新密码登录即可 ---- 5.
3.5K30编辑于 2023-02-02 - 来自专栏kali blog
常见ZIP密码找回工具
项目地址:https://github.com/The404Hacking/ZIP-Password-BruteForcer
2.1K10编辑于 2025-07-28 - 来自专栏yuancao博客
逻辑漏洞之密码找回漏洞(semcms)
什么是密码找回漏洞 利用漏洞修改他人帐号密码,甚至修改管理员的密码。 脑洞图 1.用户凭证暴力破解 1.1 密码找回的凭证太弱,如只需要填入一个四位或者六位的纯数字,就可以重置密码,导致可以暴力破解。 2.返回凭证 2.1 url返回验证码及token(找回密码凭证发到邮箱中,url中包含用户信息以及凭证,但是这个凭证可以重置任何用户) 2.2 密码找回凭证在页面中(通过密保问题找回密码、找回密码的答案在网页的源代码中 ,在密码找回时注意抓包查看所有url返回响应等,看是否有最终的凭证出现,这样就可以绕过手机或者安全邮箱了) 9.2 发送短信等验证信息的动作在本地进行,可以通过修改返回包进行控制 10.注入 10.1 这里密码随便输,认证码也随便填一个4位数(因为此cms的认证码是个由数字组成的四位数) 准备抓包,然后点击确认找回。
5.4K33发布于 2020-09-08 - 来自专栏kali blog
当今常见密码找回的手段
这是一种最早地获取密码的方法。通过键盘记录木马。将所有的键盘操作保存为txt,并定时将其发送到指定邮箱中。虽然这种方法已基本过时,但仍有很多改良版,并由PC端过渡到手机端。危害比较大!
52810编辑于 2025-07-28 - 来自专栏kali blog
密码找回工具hydra 食用指南
在kali中,hydra已经默认安装。我们终端输入命令hydra即可运行。当然其他系统也可以安装。
65010编辑于 2025-07-28 - 来自专栏kali blog
WiFi密码找回工具airgeddon使用 (图文+视频)
interface 选择其他网卡 2 Put interface in monitor mode 开启网卡监听(用于扫描WiFi) 3 Put interface in managed mode 退出监听模式 4
1K10编辑于 2025-11-17 - 来自专栏一日一工具
vue + flask实现邮件密码找回功能
vue + flask实现邮件密码找回功能 跟大家聊聊前后端分离情况下的密码找回功能,针对vue+flask的实现在Google上搜索并没有一个很明确的文档,所以在此记录下自己的操作经历。 密码找回的逻辑 ? 引用链接 [1] 密码找回逻辑图片: https://dev.to/paurakhsharma/flask-rest-api-part-5-password-reset-2f2e
2.2K20发布于 2020-08-13 - 来自专栏小文博客
Vultr忘记密码找回及重置方式
f 其他系统 官方说明文档:https://www.vultr.com/docs/boot-into-single-user-mode-reset-root-password Vultr(其他服务器)密码找回
3.9K50发布于 2018-06-25 - 来自专栏kali blog
一款Word密码找回工具
Advanced Office Password Recovery是一款专业免费的word密码破解工具,Advanced Office Password Recovery内置暴力破解、字典攻击、单词攻击、掩码破解、组合破解、混合破解等多种解码模式,能够处理微软公司的各种常见文档格式。
1.1K10编辑于 2025-07-28 - 来自专栏NetCore 从壹开始
【Blog.Idp开源】支持在线密码找回
(一个做认证平台,必须会遇到的一个问题) BCVP框架,是基于: ASP.NETCore5.0+VUE.js+IdentityServer4等核心技术,实现的前后端分离与动态认证鉴权一体化平台。 01 密码找回 认证中心绕不开的话题 Architecture Design. 在BCVP框架中,用到了IdentityServer4(下文统称Ids4)作为认证平台中心,丰富的API为我们管理认证、客户端、用户、资源、令牌等复杂逻辑提供了可能。 开源这么久了,一直没有机会去处理密码找回这个需求,官方当然也提供了各种扩展方法,但是这些扩展都不是最重要的,那找回密码什么是最重要的呢?——答案就是服务器和客户端的通讯。 常见的密码找回很简单,要么发短信,要么发邮件,只有这样才能保证信息的安全和稳定性,但是我毕竟没有这些额外的付费服务。
92020编辑于 2022-04-11 - 来自专栏kali blog
密码找回神器Ffuf上手指南
通常情况下,一个网站都存在相关后台文件。如https://baidu.com/admin.php 因此,我们可以用其查找后台文件。这里以我博客为例。
73410编辑于 2025-07-28 - 来自专栏kali blog
Windows和Linux下压缩包密码找回工具
在Linux中,我们常用fcrackzip这款工具来找回我们的密码。在kali中此工具默认安装。如果其他系统想要安装此工具,我们只需执行下面命令即可。
1.3K10编辑于 2025-07-28 - 来自专栏日常撸知识
学习Django,用户个人系统的密码找回功能的实现
下面学习如何实现邮件密码找回功能。 在url.py中已经设置了findpassword链接,然后在views.py中编写findpassword视图函数: ?
1.2K10发布于 2019-07-03 - 来自专栏许都博客
WordPress 禁用密码找回邮件或修改该邮件内容
WordPress 6.0 新增了两个和密码找回邮件相关的钩子: send_retrieve_password_email可用于过滤是否发送找回密码邮件 retrieve_password_notification_email apply_filters( 'retrieve_password_notification_email', $defaults, $key, $user_login, $user_data ); 禁用密码找回邮件 以下代码可以全局禁用发送密码找回邮件,也可以按照提示通过 $user_login, $user_data 两个参数来添加限制条件: function wpdax_disable_retrieve_password_email } add_filter( 'send_retrieve_password_email', 'wpdax_disable_retrieve_password_email', 10, 2 ); 修改密码找回邮件的内容 add_filter( 'retrieve_password_notification_email', 'wpdx_filter_retrieve_password_notification_email', 10, 4
64730编辑于 2022-06-05 - 来自专栏FreeBuf
任意用户密码重置(一):重置凭证泄漏
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面。其中,密码找回功能是重灾区。 登录邮箱查看网站发过来的密码找回邮件: ? 发现两者一致,那么,几乎可以确认服务端将密码找回的校验码泄漏至客户端,可导致任意账号密码重置问题。 尝试找回普通账号的密码。 isVerify=eWFuZ3lhbmd3aXRoZ251fHlhbmd5YW5nd2l0aGdudUB5ZWFoLm5ldHw2MzQyNDkw&PassPhrase=01e4f6d4ede81b2604dc320bc4e3a6e8 isVerify=eWFuZ3lhbmd3aXRoZ251fHlhbmd5YW5nd2l0aGdudUB5ZWFoLm5ldHw2MzQyNDkw&PassPhrase=01e4f6d4ede81b2604dc320bc4e3a6e8 防御措施上,密码找回的凭证切勿下发客户端,另外,校验邮箱是否有效应添加图片验证码,以防止关键参数被枚举。
4.5K60发布于 2018-02-24 - 来自专栏FreeBuf
任意用户密码重置(三):用户混淆
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。 密码找回页面 https://my.xxxx.com/pwd,用攻击者账号 yangyangwithgnu 走完密码找回全流程。 输入用户名和图片验证码后提交: ? 验证为有效用户名后,系统提供手机、邮箱两种密码找回方式,选用邮箱方式: ? 登录邮箱查收重置验证码: ? 输入重置验证码: ? 进入新密码页面,输入后提交,拦截请求如下: ? 其中, PHPSESSID=dcusc1ahkn4ioqeeav9c6e0bdq、USER_ACCOUNT=yangyangwithgnu、 USER_APPID=1092 这三个参数引起我的注意。 密码找回页面 http://www.xxxx.cn/getpass.html,用攻击者账号走完密码找回全流程,涉及三步请求,依次为:验证用户名是否存在、获取短信验证码、提交短信验证码和新密码。
2.2K50发布于 2018-02-23 - 来自专栏网站漏洞修补
网站安全漏洞检测之用户密码找回网站漏洞的安全分析与利用
安全在对网站,以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞,有些简简单单的短信验证码可能就会给整个网站带来很大的经济损失,很简单的网站功能,比如用户密码找回上 在短信炸弹,以及用户密码找回的网站漏洞上,我们来跟大家分享一下如何利用以及如何防范该漏洞的攻击。 下一篇文章跟大家分享用户密码找回漏洞的利用与分析。
2.4K10发布于 2018-12-12 - 来自专栏FreeBuf
任意用户密码重置(四):重置凭证未校验
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。 在日常对密码找回功能的攻击中,我的大部份精力聚焦在是否可以暴破验证码、是否可以劫持接收验证码的手机号或邮箱、是否可以混淆重置其他账号、是否可以绕过验证步骤、甚至是猜测重置 token 的生成规律等攻击方式上 案例一:因服务端未校验 token 导致可重置任意账号密码 密码找回页面 http://www.omegatravel.net/users/retrievePassword/ 用攻击者账号 yangyangwithgnu @yeah.net 进入密码找回全流程,输入图片验证码后提交: ? 案例二:可枚举无密保的用户名,导致任意密保答案均可重置密码 在密码找回页面 http://www.hzpzs.net/u_findPassword.asp 输入有效用户名 yangyangwithgnu
3.3K80发布于 2018-03-22 - 来自专栏FreeBuf
全程带阻:记一次授权网络攻防演练(上)
审查密码找回功能。 密码找回功能很容易出现逻辑错误,经验来看,至少可从七个方面攻击密码找回功能:重置凭证接收端可篡改、重置凭证泄漏、重置凭证未校验、重置凭证可暴破、用户混淆、应答中存在影响后续逻辑的状态参数、token 可预测 访问密码找回页面: ? 拦截密码找回的请求: ? 从应答描述可知,提示该用户不存在,重发几次,结果相同,说明图片验证码未生效,好了,第一个洞,用户名可枚举。 提取三个账号的哈希密码,liufei 的 a1e0476879cab2a76cc22c80bbf364dd、nana 的 208f0aba4a6d4b9afe94207e6c57d594、admin 的 回到先前未反解出来的两个账号,nana 的 208f0aba4a6d4b9afe94207e6c57d594、admin 的 3faf009c43bb39c5a37859bc48feaff3。
2.1K40发布于 2019-08-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号