逻辑漏洞 - 密码重置（简单验证码）-01.pptxVIP免费

2018Web攻防训练营逻辑漏洞-密码重置（简单验证码）1.密码重置or密码找回2.密码重置逻辑分析3.密码重置处逻辑漏洞4.逻辑漏洞防御课程内容01密码重置or密码找回密码重置or密码找回实际情况下，用户很有可能长时间不使用该系统忘记了对应的用户密码，此时系统应该提供密码找回或修改功能。但是大多数提供的是密码重置，而非密码找回。明文存储和密文存储02密码重置逻辑分析密码重置逻辑分析用户重置模块发送验证码，验证身份成功重置验证码如果是一个弱数字03密码重置处逻辑漏洞密码重置处逻辑漏洞如果手机验证码或邮箱验证码为一个4位数，且没有机制来验证输入次数，那么此时存在被破解的风险。04逻辑漏洞防御逻辑漏洞防御1、设置复杂验证码例如6位数字2、设置限制次数，比如3次输入错误需要重置验证码或者设置时间1分钟有效等。1.密码重置or密码找回2.密码重置逻辑分析3.密码重置处逻辑漏洞4.逻辑漏洞防御总结再见欢迎关注Web安全训练营课程