- 综合排序
- 最热优先
- 最新优先
- 来自专栏Live专区
密码找回插件LoveKKForget
插件简介 作为一个博客程序,Typecho竟然没有密码找回功能,可以说很是意外!也有很多网友对这个功能进行过增加,但大多需要对内核代码进行修改,这样对以后的升级很不友好。 插件功能很简单,就是一个密码找回的功能,同时考虑到smtp发信的丢信率等因素,将邮件发送改为了使用SendCloud进行发送。
2.1K20编辑于 2022-08-16 - 来自专栏站长的编程笔记
微擎后台用户密码找回
链接: https://pan.baidu.com/s/16S6LdxpfzhOmIiF_cbwLnA 提取码: st4g
3.5K30编辑于 2023-02-02 - 来自专栏kali blog
常见ZIP密码找回工具
项目地址:https://github.com/The404Hacking/ZIP-Password-BruteForcer
2.1K10编辑于 2025-07-28 - 来自专栏yuancao博客
逻辑漏洞之密码找回漏洞(semcms)
什么是密码找回漏洞 利用漏洞修改他人帐号密码,甚至修改管理员的密码。 脑洞图 1.用户凭证暴力破解 1.1 密码找回的凭证太弱,如只需要填入一个四位或者六位的纯数字,就可以重置密码,导致可以暴力破解。 在最后重置密码处跟随一个用户ID,改成其他用户ID,即可把其他用户改成你刚刚设置的密码) 6.3 服务器验证逻辑为空 7.用户身份验证 7.1 账号与手机号码的绑定 7.2 账号与邮箱账号的绑定 8. 找回步骤 8.1 跳过验证步骤、找回方式,直接到设置新密码页面 9.本地验证 9.1 在本地验证服务器的返回信息,确定是否执行重置密码,但是其返回的信息是可控的内容,或者可以得到的内容(密码找回凭证在客户端获取 ,在密码找回时注意抓包查看所有url返回响应等,看是否有最终的凭证出现,这样就可以绕过手机或者安全邮箱了) 9.2 发送短信等验证信息的动作在本地进行,可以通过修改返回包进行控制 10.注入 10.1
5.4K33发布于 2020-09-08 - 来自专栏kali blog
当今常见密码找回的手段
这是一种最早地获取密码的方法。通过键盘记录木马。将所有的键盘操作保存为txt,并定时将其发送到指定邮箱中。虽然这种方法已基本过时,但仍有很多改良版,并由PC端过渡到手机端。危害比较大!
52810编辑于 2025-07-28 - 来自专栏kali blog
密码找回工具hydra 食用指南
在kali中,hydra已经默认安装。我们终端输入命令hydra即可运行。当然其他系统也可以安装。
65010编辑于 2025-07-28 - 来自专栏kali blog
WiFi密码找回工具airgeddon使用 (图文+视频)
但必须有该漏洞才可以) 6 Offline WPA/WPA2 decrypt menu WPA/WPA(传统的WiFi破解模式) 7 Evil Twin attacks menu WiFi钓鱼攻击 8 在实验中,为了节约时间,我用的8-9位(最小8位 最大9位)纯数字密码进行破解测试。耗时约为3分钟左右(当然和你电脑性能有关) WiFi钓鱼测试 在主菜单中选择7进入钓鱼菜单。
1K10编辑于 2025-11-17 - 来自专栏一日一工具
vue + flask实现邮件密码找回功能
vue + flask实现邮件密码找回功能 跟大家聊聊前后端分离情况下的密码找回功能,针对vue+flask的实现在Google上搜索并没有一个很明确的文档,所以在此记录下自己的操作经历。 密码找回的逻辑 ? Serializer(app.config['SECRET_KEY'], expireation) return s.dumps({'confirm': self.id}).decode('utf-8' s = Serializer(app.config['SECRET_KEY']) try: data = s.loads(token.encode('utf-8' 引用链接 [1] 密码找回逻辑图片: https://dev.to/paurakhsharma/flask-rest-api-part-5-password-reset-2f2e
2.2K20发布于 2020-08-13 - 来自专栏小文博客
Vultr忘记密码找回及重置方式
f 其他系统 官方说明文档:https://www.vultr.com/docs/boot-into-single-user-mode-reset-root-password Vultr(其他服务器)密码找回
3.9K50发布于 2018-06-25 - 来自专栏kali blog
一款Word密码找回工具
Advanced Office Password Recovery是一款专业免费的word密码破解工具,Advanced Office Password Recovery内置暴力破解、字典攻击、单词攻击、掩码破解、组合破解、混合破解等多种解码模式,能够处理微软公司的各种常见文档格式。
1.1K10编辑于 2025-07-28 - 来自专栏kali blog
密码找回神器Ffuf上手指南
通常情况下,一个网站都存在相关后台文件。如https://baidu.com/admin.php 因此,我们可以用其查找后台文件。这里以我博客为例。
73510编辑于 2025-07-28 - 来自专栏NetCore 从壹开始
【Blog.Idp开源】支持在线密码找回
01 密码找回 认证中心绕不开的话题 Architecture Design. 开源这么久了,一直没有机会去处理密码找回这个需求,官方当然也提供了各种扩展方法,但是这些扩展都不是最重要的,那找回密码什么是最重要的呢?——答案就是服务器和客户端的通讯。 常见的密码找回很简单,要么发短信,要么发邮件,只有这样才能保证信息的安全和稳定性,但是我毕竟没有这些额外的付费服务。 userId=4045&code=CfDJ8HGMaC81CCVNj8gqKOrlZ5tFOx03UOdLeRYDQA8ktHq6cojFCMVS85P6iy0LkRa1GmeV9QzXbzwmowy1NQHPUBfKYBEVmP7BSleaPZCQv userId=4045&code=CfDJ8HGMaC81CCVNj8gqKOrlZ5tFOx03UOdLeRYDQA8ktHq6cojFCMVS85P6iy0LkRa1GmeV9QzXbzwmowy1NQHPUBfKYBEVmP7BSleaPZCQv
92020编辑于 2022-04-11 - 来自专栏kali blog
Windows和Linux下压缩包密码找回工具
在Linux中,我们常用fcrackzip这款工具来找回我们的密码。在kali中此工具默认安装。如果其他系统想要安装此工具,我们只需执行下面命令即可。
1.3K10编辑于 2025-07-28 - 来自专栏日常撸知识
学习Django,用户个人系统的密码找回功能的实现
下面学习如何实现邮件密码找回功能。 在url.py中已经设置了findpassword链接,然后在views.py中编写findpassword视图函数: ?
1.2K10发布于 2019-07-03 - 来自专栏许都博客
WordPress 禁用密码找回邮件或修改该邮件内容
WordPress 6.0 新增了两个和密码找回邮件相关的钩子: send_retrieve_password_email可用于过滤是否发送找回密码邮件 retrieve_password_notification_email apply_filters( 'retrieve_password_notification_email', $defaults, $key, $user_login, $user_data ); 禁用密码找回邮件 以下代码可以全局禁用发送密码找回邮件,也可以按照提示通过 $user_login, $user_data 两个参数来添加限制条件: function wpdax_disable_retrieve_password_email } add_filter( 'send_retrieve_password_email', 'wpdax_disable_retrieve_password_email', 10, 2 ); 修改密码找回邮件的内容
64730编辑于 2022-06-05 - 来自专栏FreeBuf
任意用户密码重置(一):重置凭证泄漏
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面。其中,密码找回功能是重灾区。 登录邮箱查看网站发过来的密码找回邮件: ? 发现两者一致,那么,几乎可以确认服务端将密码找回的校验码泄漏至客户端,可导致任意账号密码重置问题。 尝试找回普通账号的密码。 eWFuZ3lhbmd3aXRoZ251fHlhbmd5YW5nd2l0aGdudUB5ZWFoLm5ldHw2MzQyNDkw&PassPhrase=01e4f6d4ede81b2604dc320bc4e3a6e8 eWFuZ3lhbmd3aXRoZ251fHlhbmd5YW5nd2l0aGdudUB5ZWFoLm5ldHw2MzQyNDkw&PassPhrase=01e4f6d4ede81b2604dc320bc4e3a6e8 防御措施上,密码找回的凭证切勿下发客户端,另外,校验邮箱是否有效应添加图片验证码,以防止关键参数被枚举。
4.5K60发布于 2018-02-24 - 来自专栏网站漏洞修补
网站安全漏洞检测之用户密码找回网站漏洞的安全分析与利用
安全在对网站,以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞,有些简简单单的短信验证码可能就会给整个网站带来很大的经济损失,很简单的网站功能,比如用户密码找回上 在短信炸弹,以及用户密码找回的网站漏洞上,我们来跟大家分享一下如何利用以及如何防范该漏洞的攻击。 下一篇文章跟大家分享用户密码找回漏洞的利用与分析。
2.4K10发布于 2018-12-12 - 来自专栏FreeBuf
任意用户密码重置(四):重置凭证未校验
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。 在日常对密码找回功能的攻击中,我的大部份精力聚焦在是否可以暴破验证码、是否可以劫持接收验证码的手机号或邮箱、是否可以混淆重置其他账号、是否可以绕过验证步骤、甚至是猜测重置 token 的生成规律等攻击方式上 案例一:因服务端未校验 token 导致可重置任意账号密码 密码找回页面 http://www.omegatravel.net/users/retrievePassword/ 用攻击者账号 yangyangwithgnu @yeah.net 进入密码找回全流程,输入图片验证码后提交: ? 案例二:可枚举无密保的用户名,导致任意密保答案均可重置密码 在密码找回页面 http://www.hzpzs.net/u_findPassword.asp 输入有效用户名 yangyangwithgnu
3.3K80发布于 2018-03-22 - 来自专栏FreeBuf
任意用户密码重置(三):用户混淆
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。 密码找回逻辑含有用户标识(用户名、用户 ID、cookie)、接收端(手机、邮箱)、凭证(验证码、token)、当前步骤等四个要素,若这几个要素没有完整关联,则可能导致任意密码重置漏洞。 密码找回页面 https://my.xxxx.com/pwd,用攻击者账号 yangyangwithgnu 走完密码找回全流程。 输入用户名和图片验证码后提交: ? 验证为有效用户名后,系统提供手机、邮箱两种密码找回方式,选用邮箱方式: ? 登录邮箱查收重置验证码: ? 输入重置验证码: ? 进入新密码页面,输入后提交,拦截请求如下: ? 密码找回页面 http://www.xxxx.cn/getpass.html,用攻击者账号走完密码找回全流程,涉及三步请求,依次为:验证用户名是否存在、获取短信验证码、提交短信验证码和新密码。
2.2K50发布于 2018-02-23 - 来自专栏数字臧品
招聘小程序系统
今天这篇文章就针对招聘小程序系统在开发过程中,整个招聘小程序系统的模块和功能点,给大家进行相关介绍招聘小程序在开发过程中,主要有企业端和求职者端:图片企业端:1.企业用户注册功能:企业注册,企业登陆,用户密码找回 求职端:1.求职者注册功能:求职者注册,求职者登陆,用户密码找回,微信一键登陆2.职位展示:求职者可通过小程序查看各行业、各公司发布的招聘信息。3.简历管理:管理简历,优化简历,刷新简历。 8.密码修改:求职者可以自行修改密码除上述功能外,还有个人中心,招聘者和求职者通过个人中心管理和编辑自己的相关信息
1.8K50编辑于 2022-08-16
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号