聊聊密码找回 · Web 安全那些事儿

大部分网站为了防止用户遗忘密码，提供了找回密码的功能。常见的找回密码方式有：邮箱找回密码、根据密码保护问题找回密码、根据手机号码找回密码等。虽然这些方式都可以找回密码，但实现方式各不相同。

其实无论是哪种密码找回方式，在找回密码时，除了自己的用户密码，如果还能找回其他用户的密码，就存在密码找回漏洞。密码找回漏洞在逻辑漏洞中占了的比例比较大。测试密码找回漏洞与其他逻辑漏洞的方法相同。其中必经的两个步骤是：熟悉业务流程（密码找回过程）与对流程中的 HTTP 请求分析。本场 Chat 分享会以一些互联网经典案例做讲解，具体内容包括：

• 用户凭证暴力破解
• 返回凭证
• 邮箱弱 token
• 用户凭证有效性
• 重新绑定

实录摘要：

• 密码找回怎么去利用到实战中，怎么去培养这样的思维？
• 如果是腾讯 QQ 这种需要验证手机才能登录的账号，怎么办？
• 通过撞库获取的账号密码是怎么一回事？
• 找回密码时有个提示检测是否处在安全环境，其后面的逻辑是怎样的？
• 密码找回，比较合理或者相对安全的实现思路是什么？
• 除了这种逻辑漏洞，其他可能造成用户账户不安全的有哪些？
• 遇到漏洞问题，请问这种情况下用户该怎么防范？
• 找回密码这个功能要安全，有什么方法不被破解有代码分享或者文章也行？
• 公众号对接的 Web APP 怎么实现记住密码？下次免登录吗？