密码找回安全

EMT009232023-09-07 13:46

文章目录

密码找回安全

  • 用户提交修改密码请求;
  • 账号认证:服务器发送唯一ID (例如信验证码)只有账户所有者才能看的地方,完成身份验证;
  • 身份验证:用户提交验证码完成身份验证;
  • 修改密码:用户修改密码。

任意秘密重置

登录metinfo4.0网站,点击网站管理:

输入用户名admin密码123456登录管理员账号:

另起一个网页注册一个普通用户的账号并登录,可以用他修改管理员账户的密码:

在修改密码界面修改普通用户的密码:

用bp抓包,将修改密码成功的数据包发送到repeater模块,修改useid字段,改成admin,点击发送:

回应包显示修改密码成功,已成功修改管理员密码(此处文字未显示):

刷新之前登录的admin网页,发现自动退出到登录界面:

用之前的密码登录,发现登录失败,密码已被修改:

相关推荐
用户9623779544815 小时前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机18 小时前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机18 小时前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户9623779544820 小时前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star20 小时前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954481 天前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
YuMiao1 天前
gstatic连接问题导致Google Gemini / Studio页面乱码或图标缺失问题
服务器·网络协议
碳基沙盒2 天前
OpenClaw 多 Agent 配置实战指南
运维
cipher3 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
Sinclair4 天前
简单几步,安卓手机秒变服务器,安装 CMS 程序
android·服务器
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04OpenClaw优化飞书API 额度已耗尽问题05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)07Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤08Window 10部署openclaw报错node.exe : npm error code 12809【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆10网站改了域名,如何查找?