保存成功
保存失败,请重试
提交成功

聊聊密码找回 · Web 安全那些事儿

作者/分享人:汤青松
Web安全爱好者,《PHP WEB安全开发实战》作者

大部分网站为了防止用户遗忘密码,提供了找回密码的功能。常见的找回密码方式有:邮箱找回密码、根据密码保护问题找回密码、根据手机号码找回密码等。虽然这些方式都可以找回密码,但实现方式各不相同。

其实无论是哪种密码找回方式,在找回密码时,除了自己的用户密码,如果还能找回其他用户的密码,就存在密码找回漏洞。密码找回漏洞在逻辑漏洞中占了的比例比较大。测试密码找回漏洞与其他逻辑漏洞的方法相同。其中必经的两个步骤是:熟悉业务流程(密码找回过程)与对流程中的 HTTP 请求分析。本场 Chat 分享会以一些互联网经典案例做讲解,具体内容包括:

  • 用户凭证暴力破解
  • 返回凭证
  • 邮箱弱 token
  • 用户凭证有效性
  • 重新绑定

实录摘要:

  • 密码找回怎么去利用到实战中,怎么去培养这样的思维?
  • 如果是腾讯 QQ 这种需要验证手机才能登录的账号,怎么办?
  • 通过撞库获取的账号密码是怎么一回事?
  • 找回密码时有个提示检测是否处在安全环境,其后面的逻辑是怎样的?
  • 密码找回,比较合理或者相对安全的实现思路是什么?
  • 除了这种逻辑漏洞,其他可能造成用户账户不安全的有哪些?
  • 遇到漏洞问题,请问这种情况下用户该怎么防范?
  • 找回密码这个功能要安全,有什么方法不被破解有代码分享或者文章也行?
  • 公众号对接的 Web APP 怎么实现记住密码?下次免登录吗?
已有1974人预订
预订达标
文章出炉
交流日期
     
17.07.17
17.08.01
17.08.08 20:30
你可能还喜欢
被动收入 101 :使用云开发和 Taro 开发一个小程序
白宦成
史上最全 Redis 面试题及答案,搞懂这套题征服面试官
ilomilo
数据结构算法常见的 100 道面试题全解析:2019 版
攻城狮
进击的 Java ,云原生时代的蜕变
阿里巴巴云原生
10 个代码细节助你培养大牛思维
zaqweb
支付宝支付流程与服务端实现
江水
不把握好这 3 个原则,你的简历就是废纸
白朔天
快速成长:大学期间 0 到 100000 + 、拿到阿里 offer,我都做了什么?
latent
Zookeeper 详解与实践,你面试工作都绕不开的必考题!
latent
Java 编程(程序可靠性的 30 点建议)
OverWrite
深入浅出华为鸿蒙操作系统
闪客sun
轻松 TDD 之旅 2.0
张晓龙
Vue 实操指南
Fengy
Redis 数据库详解
小天空
基于爬取的 GitChat 平台数据进行分析
大数据和远方
微信扫描登录
关注提示×
扫码关注公众号,获得 Chat 最新进展通知!
入群与作者交流×
扫码后回复关键字 入群
Chat·作者交流群
入群码
该二维码永久有效