用户密码重置常见安全问题与测试方法汇总

最新推荐文章于 2025-07-04 11:26:03 发布
原创 最新推荐文章于 2025-07-04 11:26:03 发布 · 1.9k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

文章讨论了密码重置过程中存在的验证不足问题,如任意验证码发送、重置连接发送和身份验证缺失,可能导致账号安全风险。提供了解决方案,包括验证用户绑定凭证和加强重置连接的安全措施。

重置密码功能是为了用户可以在忘记密码时重新设置账号凭证的一个有效途径,其本身并未安全问题,但是在重置密码中的验证机制不够完善也就造成了问题的出现,其最主要的原因是用户名,辅助凭证,辅助验证码没有进行统一验证。其可以导致用户账号丢失、信息丢失、财产损失等,对企业来讲,任意账号重置的漏洞将会丢失大量数据,失去用户信任,严重妨碍企业业务,带来巨大的财产损失。

密码重置流程

重置密码的过程,是证明身份并重新设置登录凭证的过程
Step 1:输入账号名以及注册账号时预留的辅助验证凭证(手机号/邮箱)
Step 2:后端服务向该用户绑定的手机号/邮箱等发送验证码,或重置连接(重置连接为了安全性一般具备时效性)
Step 3.0:用户输入验证码,证明操作者是账号所有者,后端进行重置密码
Step 3.1:用户使用重置连接,证明操作者是账号所有者,后端进行重置密码

常见问题汇总

任意验证码发送

当程序发送短信时没有将手机号/邮箱与账号进行匹配,就会导致任意验证码发送问题,攻击者可以用自己手机号码、邮箱收到的重置用验证码,用以重置其它用户的密码。或者利用此功能进行短信轰炸。

严重程度

测试方法

使用与账号不匹配的手机号/邮箱尝试接收验证码,查看是否接收成功,如果成功则存在问题。

修复建议

发送短信验证码时需要
出现阶段:Step 2:后端服务向该用户绑定的手机号/邮箱等发送验证码,或重置连接(重置连接为了安全性一般具备时效性)

任意重置连接发送

当程序发送重置连接时没有将手机号/邮箱与账号进行匹配,就会导致重置连接发送问题,攻击者可以用自己手机号码、邮箱收到的重置连接,用以重置其它用户的密码。或者利用此

最低0.47元/天 解锁文章
web渗透测试----22、业务逻辑漏洞--(2)任意用户密码重置
七天
11-05 4476
业务逻辑漏洞----任意用户密码重置
21-逻辑越权
Karka_的博客
02-22 1987
通过低权限账户身份的账户,发送高权限账号才能有的请求,获取更高权限的操作。垂直越权测试思路:看看低权限用户是否能越权使用高权限用户的功能,比如普通用户可以使用管理员的功能。指相同权限下不同的用户可以互相访问水平越权测试方法:主要通过看看能否通过A用户操作影响到B用户用户身份验证的令牌——Token1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确否,并作出相应提示,在这样的背景下,Token便应运而生。
理解这几个安全漏洞,你也能做安全测试
2301_77645573的博客
03-03 927
​ 短信轰炸攻击是常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞 ​
密码修改页面如何测试?
qq_30020875的博客
10-08 1036
实际测试中可能只用到其中几条而已,比如银行卡密码修改,就不用考虑英文和非法字符,更不用考虑那些TAP之类的快捷键。而有的需要根据需求具体分析了,比如连续出错多少次出现的提示,和一些软件修改密码要求一定时间内有一定的修改次数限制等等。 1.不输入旧密码,直接改密码 2.输入错误旧密码 3.不输入确认新密码 4.不输入新密码 5.新密码和确认新密码不一致 6.新密码中有空格 7.新密码为空 8.新密...
公用测试点--忘记密码/找回密码
weixin_49974303的博客
01-22 839
忘记密码、重置密码测试点
73、嵌入式系统开发:安全、测试、问题跟踪可靠性保障
rust6ferris的博客
06-28 112
本文深入探讨了嵌入式系统开发中的安全性、测试、问题跟踪以及可靠性等关键方面。文章涵盖了安全计划的重要性、测试策略的制定、问题跟踪分析的方法、运行时错误日志的记录分析,以及提高系统可靠性的多种技术。通过这些内容,为开发者提供了一套全面的指导方案,帮助其开发出更加安全、稳定、高质量的嵌入式系统。
247-常见计算机问题汇总word版本.ppt
06-24
在计算机使用过程中,我们经常会遇到...以上是常见的计算机问题及其解决方法汇总,希望在面对问题时能提供帮助。当然,预防永远比解决问题来得重要,定期维护电脑硬件,保证网络环境安全,可以有效降低这些问题的发生。
本机密码查看工具集汇总安全使用说明
综上所述,本机密码查看工具集体现了现代操作系统在用户体验安全性之间权衡的产物。它既反映了人们对便捷性的追求,也暴露了本地身份认证机制在离线环境下相对脆弱的本质。对于专业技术人员而言,掌握其工作原理有...
步科触摸屏常见问题及解决方案汇总
该文件围绕软件类、通讯类、硬件类及其他常见问题展开,重点聚焦于EV5000编程软件的使用技巧、系统参数配置、用户权限管理、数据上传下载操作、模拟调试功能以及日常维护中的典型故障处理方法。文档面向自动化...
72、嵌入式系统测试、问题跟踪可靠性保障
最新发布
game4的博客
07-04 63
本文深入探讨了嵌入式系统开发中的测试策略、问题跟踪分析、运行时错误日志管理、可靠性保障以及安全保障等多个关键环节。通过详细的测试分类和覆盖度指标,介绍了如何制定有效的测试计划,并结合问题跟踪系统提升开发过程质量。文章还分析了错误日志在系统可靠性提升中的作用,并讨论了硬件软件可靠性保障的不同方法。最后,文章强调了安全性在现代嵌入式系统中的重要性,并提出了未来发展的趋势建议。
测试用例(注册、登陆和修改密码)
01-12
注册、登陆和修改密码测试用例范例
重置密码测试用例
HaoChaop的博客
02-28 2180
密码重置测试流程
p656456564545的专栏
08-10 1012
1:短信验证码比较短,可以爆破 2.码返回在数据包中。或者可以修改返回数据库进行伪造 3:session相关问题. 用自己的验证码填充别人的?(猜测用户session绑定的问题)http://www.wooyun.org/bugs/wooyun-2010-0131635 止于重置页面,然后换号修改流程http://www.wooyun.org/bugs/wooyun-201
4.4.9-测试弱密码更改或重置功能
qq_44232452的博客
10-18 216
对于任何要求用户使用密码进行身份验证的应用程序,必须有一种机制,用户在忘记密码时可以重新获得对其帐户的访问权限。虽然这有时可能是一个涉及联系网站所有者或支持团队的手动过程,但通常允许用户执行自助密码重置,并通过提供其他一些身份证明来重新获得对其帐户的访问权限。由于此功能提供了破坏用户帐户的直接途径,因此安全实施至关重要。
修改密码-测试用例设计
热门推荐
wang_shiwei的博客
10-17 1万+
找回密码 -测试用例设计 页面如下:  找回密码  原密码:             新密码:              确认密码:           确定 取消       1、不输入旧密码,直接改密码----修改失败       2、输入错误的原密码----修改失败       3、新密码和确认密码不一
测试点常用用例设计(登录、修改密码、输入框、上传视频、XSS、URL篡改)
weixin_30244889的博客
11-30 787
1、无效-视频文件测试点: 视频大小过大 视频大小过小 视频名称过长 视频名称包含特殊字符 视频名称包含中文、中英混合 视频文件格式错误 视频文件重复性上传 2、有效-视频文件测试点: 选择符合要求的视频,上传 上传成功的视频、名称显示 查看,下载上传成功的视频 删除上传成功的视频 替换上传成功的视频 上传视频是否支持中文名称 更具体的可以...
前后端交互,修改密码校验
m0_56758388的博客
09-15 1448
密码修改
前后端分离------后端创建笔记(09)密码加密网络安全
weixin_54048131的博客
08-15 801
本文章转载于【SpringBoot+Vue】全网最简单但实用的前后端分离项目实战笔记 - 前端_大菜007的博客-优快云博客仅用于学习和讨论,如有侵权请联系源码:https://gitee.com/green_vegetables/x-admin-project.git素材:https://pan.baidu.com/s/1ZZ8c-kRPUxY6FWzsoOOjtA 提取码:up4c。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方寸明光

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值