Web攻防视频教程逻辑漏洞 - 密码重置（简单验证码）-01.pdfVIP

Web攻防训练营

逻辑漏洞-密码重置（简单验证码）

课程内容

1.密码重置or密码找回3.密码重置处逻辑漏洞

2.密码重置逻辑分析4.逻辑漏洞防御

01

密码重置or密码找回

密码重置or密码找回

实际情况下，用户很有可能长时间不使用该系统忘记了对应的用户密码，此时系统应该提供密码找回或

修改功能。但是大多数提供的是密码重置，而非密码找回。

明文存储和密文存储

02

密码重置逻辑分析

密码重置逻辑分析

用户重置模块

发送验证码，验

证身份

验证码如果是一个弱数字

成功重置

03

密码重置处逻辑漏洞

密码重置处逻辑漏洞

如果手机验证码或邮箱验证码为一个4位数，且没有机制来验证输入次数，那么此时存在被破解的风险。

04

逻辑漏洞防御

逻辑漏洞防御

1、设置复杂验证码例如6位数字

2、设置限制次数，比如3次输入错误需要重置验证码或者设置时间1分钟有效等。

总结

1.密码重置or密码找回3.密码重置处逻辑漏洞

2.密码重置逻辑分析4.逻辑漏洞防御

再见

欢迎关注Web安全训练营课程