您正在学习的是试看内容,报名后可学习全部内容
报名课程
四、WEB安全-用户密码找回案例分析
课堂简介
大部分网站为了防止用户遗忘密码,提供了找回密码的功能。
常见的找回密码方式有:邮箱找回密码、根据密码保护问题找回密码、根据手机号码找回密码等。
虽然这些方式都可以找回密码,但实现方式各不相同。
其实无论是哪种密码找回方式,在找回密码时,除了自己的用户密码,
如果还能找回其他用户的密码,就存在密码找回漏洞。
密码找回漏洞在逻辑漏洞中占了的比例比较大。测试密码找回漏洞与其他逻辑漏洞的方法相同;
其中必经的两个步骤是:熟悉业务流程(密码找回过程)与对流程中的HTTP请求分析。
这次分享会以一些互联网经典案例做讲解,以permeate测试系统为案例来做实战演练
分享案例
1. 用户凭证暴力破解
当当网任意用户密码修改漏洞
微信任意用户密码修改漏洞
2. 返回凭证
走秀网秀团任意密码修改缺陷
天天网任意账户密码重置(二)
3. 邮箱弱token
奇虎360任意用户密码修改漏洞
4. 用户凭证有效性
OPPO手机重置任意账户密码(3)
第二次重置OPPO手机官网任意账户密码(秒改)
OPPO修改任意帐号密码
5. 重新绑定
网易邮箱可直接修改其他用户密码
12308可修改任意用户密码
往期讲座
1. [web安全-如何写出更安全的代码? 常规漏洞代码审计篇][1]
2. [web安全 -信息收集][2]
3. [WEB安全-漏洞检测工具burp suite的使用][3]
4. [WEB安全常规漏洞][4]