密码重置 | CN-SEC 中文网

安全文章

密码重置中的弱加密技术可导致账户完全接管

本文章仅用网络安全研究学习，请勿使用相关技术进行违法犯罪活动。声明：本文搬运自国外互联网，如你是原作者，请联系我们！标签：加密破译图1大多数应用程序都为用户提供了通过电子邮件“重置密码”的功能。大多数...

02月15日3 views评论

阅读全文

安全文章

分享两个漏洞，含$3133 Google IDOR

关注公众号，阅读优质好文。漏洞1在对某目标系统进行安全测试时，发现其运行着两个独立的域名——一个用于司机用户，一个用于开发者/企业用户。表面上看，这两个域名各自独立管理账户，但测试表明它们在处理电子邮...

02月13日9 views评论

阅读全文

安全文章

从任意用户注册到密码重置

点击蓝字关注我们漏洞原理由于开发人员的代码逻辑问题,在调用短信平台发送短信时,没有判断验证码和手机号是否绑定,并且把验证码校验的功能放到客户端来进行,从而导致验证码在客户端回显。回显...

01月11日2 views评论

阅读全文

安全文章

当黑客那些年之帐户接管系列漏洞-案例一斩获1000$

当黑客那些年之帐户接管系列漏洞-案例一斩获1000$这篇文章将介绍作者在 Hackerone 的私人项目中发现的一个漏洞，该漏洞允许我接管任何用户的账户。在开始之前，我想先提供一些关于 Host 头...

01月01日8 views评论

阅读全文

安全文章

通过 X-Forwarded-Host 泄露密码重置令牌

这是我的第一篇博客，如果您发现任何拼写错误，请在接下来的几分钟内耐心等待。这篇博客是关于一个漏洞的，我在 Hackerone 的私人程序中发现了这个漏洞，它允许我接管任何用户的帐户。但在开始这篇博客之...

12月28日2 views评论

阅读全文

安全新闻

如果网络攻击不可避免，那就部署好自助式密码重置解决方案吧

网络攻击这件事，不是会不会发生的问题，而是何时发生的问题了。尽管如此，当数据泄露事件发生时，组织往往还是会措手不及；而且安全团队不是把重点放在降低风险以及防止组织进一步受损上，而是忙于处理那些原本可以...

12月19日23 views评论

阅读全文

安全文章

记一次sqlserver密码重置引出的C#网站代码简单逆向

01 事件起因经客户联系，说公司sqlserver服务器的密码忘记了，希望重置密码，又不清楚账号，在远程指导使用sa/服务器密码后返回18456错误，说明账号或密码错误。尝试使用windows身份认证...

12月17日3 views评论

阅读全文

安全文章

渗透测试-登录密码重置技巧

前言在实际渗透测试中，登录框环境下，如果只有账号，但是拿不到登录密码，那么这个时候就可以尝试利用重置密码，利用我们信息收集得到的手机号，burpsuite抓包修改手机号将短信发送到我们自己的手机号上，...

12月05日5 views评论

阅读全文

安全文章

从任意密码重置到社工拿下管理员权限

从任意密码重置到拿下全校师生数据后社工拿下管理员权限开局一个登录框某次攻防，目标为某edu高校，资产很多，全部需要登陆，无弱口令，且有验证码无法爆破手工尝试几个弱口令，无果，右下角一个密码设置按钮，点...

12月02日13 views评论

阅读全文

安全文章

bugbounty技巧-有趣的账户接管

返回包令牌直接泄露导致的账号接管在重置密码处，POST /password-reset 端点的响应中发现了一个token。用一封电子邮件向 /password-reset 端点发出了新请求，并...

11月27日11 views评论

阅读全文

安全文章

丝滑的账户密码重置

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。最近太忙了，文章更新的速度真的是大不如前啦（老了老了），刚好前一段时间接到一个授权测试，记录一下丝滑的出洞...

11月21日7 views评论

阅读全文

安全文章

Bypass Cloudflare实现账户接管：密码重置投毒漏洞

今天的文章将深入探讨一种账户接管（ATO）漏洞，并分享我是如何绕过Cloudflare的保护机制，利用密码重置流程来进行攻击的。这个过程被称为密码重置投毒（Password Reset ...

11月19日55 views评论

阅读全文

密码重置中的弱加密技术可导致账户完全接管

分享两个漏洞，含$3133 Google IDOR

从任意用户注册到密码重置

当黑客那些年之帐户接管系列漏洞-案例一斩获1000$

通过 X-Forwarded-Host 泄露密码重置令牌

如果网络攻击不可避免，那就部署好自助式密码重置解决方案吧

记一次sqlserver密码重置引出的C#网站代码简单逆向

渗透测试-登录密码重置技巧

从任意密码重置到社工拿下管理员权限

bugbounty技巧-有趣的账户接管

丝滑的账户密码重置

Bypass Cloudflare实现账户接管：密码重置投毒漏洞

在线咨询

微信