- 综合排序
- 最热优先
- 最新优先
- 来自专栏Live专区
密码找回插件LoveKKForget
插件简介 作为一个博客程序,Typecho竟然没有密码找回功能,可以说很是意外!也有很多网友对这个功能进行过增加,但大多需要对内核代码进行修改,这样对以后的升级很不友好。 插件功能很简单,就是一个密码找回的功能,同时考虑到smtp发信的丢信率等因素,将邮件发送改为了使用SendCloud进行发送。
2K20编辑于 2022-08-16 - 来自专栏站长的编程笔记
微擎后台用户密码找回
链接: https://pan.baidu.com/s/16S6LdxpfzhOmIiF_cbwLnA 提取码: st4g
3.5K30编辑于 2023-02-02 - 来自专栏kali blog
常见ZIP密码找回工具
项目地址:https://github.com/The404Hacking/ZIP-Password-BruteForcer
2K10编辑于 2025-07-28 - 来自专栏yuancao博客
逻辑漏洞之密码找回漏洞(semcms)
什么是密码找回漏洞 利用漏洞修改他人帐号密码,甚至修改管理员的密码。 脑洞图 1.用户凭证暴力破解 1.1 密码找回的凭证太弱,如只需要填入一个四位或者六位的纯数字,就可以重置密码,导致可以暴力破解。 2.返回凭证 2.1 url返回验证码及token(找回密码凭证发到邮箱中,url中包含用户信息以及凭证,但是这个凭证可以重置任何用户) 2.2 密码找回凭证在页面中(通过密保问题找回密码、找回密码的答案在网页的源代码中 账号与邮箱账号的绑定 8.找回步骤 8.1 跳过验证步骤、找回方式,直接到设置新密码页面 9.本地验证 9.1 在本地验证服务器的返回信息,确定是否执行重置密码,但是其返回的信息是可控的内容,或者可以得到的内容(密码找回凭证在客户端获取 ,在密码找回时注意抓包查看所有url返回响应等,看是否有最终的凭证出现,这样就可以绕过手机或者安全邮箱了) 9.2 发送短信等验证信息的动作在本地进行,可以通过修改返回包进行控制 10.注入 10.1
5.3K33发布于 2020-09-08 - 来自专栏kali blog
当今常见密码找回的手段
这是一种最早地获取密码的方法。通过键盘记录木马。将所有的键盘操作保存为txt,并定时将其发送到指定邮箱中。虽然这种方法已基本过时,但仍有很多改良版,并由PC端过渡到手机端。危害比较大!
51510编辑于 2025-07-28 - 来自专栏kali blog
密码找回工具hydra 食用指南
在kali中,hydra已经默认安装。我们终端输入命令hydra即可运行。当然其他系统也可以安装。
60310编辑于 2025-07-28 - 来自专栏kali blog
WiFi密码找回工具airgeddon使用 (图文+视频)
执行命令后,会自动检查和安装缺失的环境。(若环境安装失败,请用官方最新的源,不要用网上的源。)
88310编辑于 2025-11-17 - 来自专栏一日一工具
vue + flask实现邮件密码找回功能
vue + flask实现邮件密码找回功能 跟大家聊聊前后端分离情况下的密码找回功能,针对vue+flask的实现在Google上搜索并没有一个很明确的文档,所以在此记录下自己的操作经历。 密码找回的逻辑 ? 引用链接 [1] 密码找回逻辑图片: https://dev.to/paurakhsharma/flask-rest-api-part-5-password-reset-2f2e
2.2K20发布于 2020-08-13 - 来自专栏小文博客
Vultr忘记密码找回及重置方式
f 其他系统 官方说明文档:https://www.vultr.com/docs/boot-into-single-user-mode-reset-root-password Vultr(其他服务器)密码找回
3.9K50发布于 2018-06-25 - 来自专栏kali blog
一款Word密码找回工具
Advanced Office Password Recovery是一款专业免费的word密码破解工具,Advanced Office Password Recovery内置暴力破解、字典攻击、单词攻击、掩码破解、组合破解、混合破解等多种解码模式,能够处理微软公司的各种常见文档格式。
1K10编辑于 2025-07-28 - 来自专栏kali blog
密码找回神器Ffuf上手指南
通常情况下,一个网站都存在相关后台文件。如https://baidu.com/admin.php 因此,我们可以用其查找后台文件。这里以我博客为例。
67610编辑于 2025-07-28 - 来自专栏NetCore 从壹开始
【Blog.Idp开源】支持在线密码找回
01 密码找回 认证中心绕不开的话题 Architecture Design. 开源这么久了,一直没有机会去处理密码找回这个需求,官方当然也提供了各种扩展方法,但是这些扩展都不是最重要的,那找回密码什么是最重要的呢?——答案就是服务器和客户端的通讯。 常见的密码找回很简单,要么发短信,要么发邮件,只有这样才能保证信息的安全和稳定性,但是我毕竟没有这些额外的付费服务。 当然还有其他的办法,就是使用类似对接QQ、微信、GitHub、Google这种第三方认证平台做个二次登录,来保证唯一性,把密码找回转嫁到第三方平台上,这种方案我个人感觉不太喜欢,既然自己已经做认证平台了
91420编辑于 2022-04-11 - 来自专栏kali blog
Windows和Linux下压缩包密码找回工具
在Linux中,我们常用fcrackzip这款工具来找回我们的密码。在kali中此工具默认安装。如果其他系统想要安装此工具,我们只需执行下面命令即可。
1.2K10编辑于 2025-07-28 - 来自专栏日常撸知识
学习Django,用户个人系统的密码找回功能的实现
下面学习如何实现邮件密码找回功能。 在url.py中已经设置了findpassword链接,然后在views.py中编写findpassword视图函数: ?
1.2K10发布于 2019-07-03 - 来自专栏许都博客
WordPress 禁用密码找回邮件或修改该邮件内容
WordPress 6.0 新增了两个和密码找回邮件相关的钩子: send_retrieve_password_email可用于过滤是否发送找回密码邮件 retrieve_password_notification_email apply_filters( 'retrieve_password_notification_email', $defaults, $key, $user_login, $user_data ); 禁用密码找回邮件 以下代码可以全局禁用发送密码找回邮件,也可以按照提示通过 $user_login, $user_data 两个参数来添加限制条件: function wpdax_disable_retrieve_password_email } add_filter( 'send_retrieve_password_email', 'wpdax_disable_retrieve_password_email', 10, 2 ); 修改密码找回邮件的内容
63630编辑于 2022-06-05 - 来自专栏网站漏洞修补
网站安全漏洞检测之用户密码找回网站漏洞的安全分析与利用
安全在对网站,以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞,有些简简单单的短信验证码可能就会给整个网站带来很大的经济损失,很简单的网站功能,比如用户密码找回上 在短信炸弹,以及用户密码找回的网站漏洞上,我们来跟大家分享一下如何利用以及如何防范该漏洞的攻击。 下一篇文章跟大家分享用户密码找回漏洞的利用与分析。
2.4K10发布于 2018-12-12 - 来自专栏FreeBuf
任意用户密码重置(四):重置凭证未校验
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。 在日常对密码找回功能的攻击中,我的大部份精力聚焦在是否可以暴破验证码、是否可以劫持接收验证码的手机号或邮箱、是否可以混淆重置其他账号、是否可以绕过验证步骤、甚至是猜测重置 token 的生成规律等攻击方式上 案例一:因服务端未校验 token 导致可重置任意账号密码 密码找回页面 http://www.omegatravel.net/users/retrievePassword/ 用攻击者账号 yangyangwithgnu @yeah.net 进入密码找回全流程,输入图片验证码后提交: ? 案例二:可枚举无密保的用户名,导致任意密保答案均可重置密码 在密码找回页面 http://www.hzpzs.net/u_findPassword.asp 输入有效用户名 yangyangwithgnu
3.3K80发布于 2018-03-22 - 来自专栏FreeBuf
任意用户密码重置(三):用户混淆
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。 密码找回逻辑含有用户标识(用户名、用户 ID、cookie)、接收端(手机、邮箱)、凭证(验证码、token)、当前步骤等四个要素,若这几个要素没有完整关联,则可能导致任意密码重置漏洞。 密码找回页面 https://my.xxxx.com/pwd,用攻击者账号 yangyangwithgnu 走完密码找回全流程。 输入用户名和图片验证码后提交: ? 验证为有效用户名后,系统提供手机、邮箱两种密码找回方式,选用邮箱方式: ? 登录邮箱查收重置验证码: ? 输入重置验证码: ? 进入新密码页面,输入后提交,拦截请求如下: ? 密码找回页面 http://www.xxxx.cn/getpass.html,用攻击者账号走完密码找回全流程,涉及三步请求,依次为:验证用户名是否存在、获取短信验证码、提交短信验证码和新密码。
2.2K50发布于 2018-02-23 - 来自专栏FreeBuf
任意用户密码重置(一):重置凭证泄漏
在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面。其中,密码找回功能是重灾区。 登录邮箱查看网站发过来的密码找回邮件: ? 发现两者一致,那么,几乎可以确认服务端将密码找回的校验码泄漏至客户端,可导致任意账号密码重置问题。 尝试找回普通账号的密码。 密码找回首页输入邮箱后,系统将立即校验该邮箱是否注册: ? 将 UName 参数定义为枚举变量,以常见 qq 邮箱作为字典,可枚举出多个有效邮箱: ? 用攻击者账号走一次密码找回流程。在找回密码页面输入攻击者账号及其邮箱(yangyangwithgnu、yangyangwithgnu@yeah.net)后提交: ? 拦截如下应答: ? 防御措施上,密码找回的凭证切勿下发客户端,另外,校验邮箱是否有效应添加图片验证码,以防止关键参数被枚举。
4.5K60发布于 2018-02-24 - 来自专栏零基础使用Django2.0.1打造在线教育网站
零基础使用Django2.0.1打造在线教育网站(十四):用户密码找回
微信公众号: 啃饼思录 [weur28ez98.jpg] QQ: 2810706745(啃饼小白) 写在前面 本篇笔记我们将实现用户的激活,用户密码找回,重置密码, forget_form}) 再回到前端页面,看看这些是不是都修改完了: [wl9w49vezg.png] 还有页面的提示信息也要修改(参考前面的介绍): [g7i2blcwcr.png] 至此,我们密码找回就已经完成了 至此,关于用户的激活,用户密码找回,重置密码,修改密码,调试代码等功能的介绍就到此为止,感谢你的赏阅!
1.2K10发布于 2018-09-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号