腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
如何
防止
攻击者
使用
我
的
密码
重置
机制
来
对
人
进行
电子邮件
轰炸
?
rest
、
security
、
password-recovery
、
denial-of-service
、
api-security
我
的
web应用有一个非常标准
的
功能,它允许忘记
密码
的
用户通过向自己发送一封
密码
重置
电子邮件
来
重置
密码
,其中包含一个指向页面的链接,以创建新
的
密码
。
我
担心person1可能会利用这个页面骚扰person2,声称需要
密码
重置
电子邮件
,但给出了person2
的
电子邮件</e
浏览 21
提问于2021-04-28
得票数 1
2
回答
网站攻击:
攻击者
的
目标是什么?
web
、
attack-vector
、
password-reset
机器
人
网络
我
的
网站已经有一段时间了。用于这些配置文件
的
电子邮件
地址似乎是来自真实用户
的
有效
电子邮件
地址,但我不能说它们是否只是
攻击者
使用
的
,或者它们是否
对
这些地址有实际
的
控制。不过,
我
所知道
的
是:这些
电子邮件
从来没有通过发送到那些新注册账户
的
链接来确认。然后
攻击者
进入
密码
检索
浏览 0
提问于2020-06-21
得票数 2
1
回答
公司给我发了一封带有明文
密码
的
注册
电子邮件
。
passwords
、
email
我
最近注册了一家公司
的
产品,并迅速收到一封
电子邮件
,确认
我
的
注册,显示
我
的
电子邮件
地址和
密码
。
我
不是安全专家,但这对
我
来说是个巨大
的
危险信号。执行了一些谷歌搜索,
我
认为发送
密码
作为明文没有任何好处。这包括之前security.stackexchange.com发布
的
一个类似的问题,但是它是几年前被问到
的
,所以我
浏览 0
提问于2021-08-24
得票数 0
回答已采纳
1
回答
是否有
使用
网站
电子邮件
功能来骚扰某人或网站
的
名称?
email
情况是,一个网站有一个
密码
恢复功能:你输入你
的
电子邮件
,如果你有一个帐户与该
电子邮件
,它会发送给你一个恢复链接。但是,有人写了一个脚本,要求每天每5秒恢复一次,并将其他人
的
电子邮件
发送给:浪费场地资源发送
电子邮件
其他不愉快
的
后果 要明确
的
是,
攻击者
不会破坏站点,而只是通过该站点
电子邮件
渠道造成不同类型
的
悲痛
浏览 0
提问于2019-06-24
得票数 2
回答已采纳
5
回答
使用
密码
哈希作为
重置
令牌
passwords
、
hash
、
password-reset
我
有这样
的
想法,不是生成
密码
重置
令牌并将其发送给用户,
我
只是将用户
的
散列
密码
发送给他们。然后在
重置
后,用户将以纯文本提交旧
的
散列
密码
和新
密码
。服务器将比较提交
的
散列
密码
和存储
的
散列
密码
,如果它们匹配,则
重置
。 这可能有一些好处,包括在
重置
电子邮件
上没有过期时间,也不需要存储&
浏览 0
提问于2017-08-27
得票数 2
回答已采纳
5
回答
时间
轰炸
密码
的
攻击方式
passwords
、
email
我
是plaintextoffenders.com
的
联合创始
人
之一。我们最近收到了一份意见书,
我
不确定是否有攻击手段。该网站是一个主机/VPS/等公司。一旦有人点击忘记
密码
,
电子邮件
就会发送到用户
的
电子邮件
地址。它指定了一个
密码
重置
地址(good),它
的
时间限制为15分钟(很好),但也包含了用户
对
这15分钟
的
临时
密码
(嗯?)。虽
浏览 0
提问于2013-08-02
得票数 4
2
回答
Django
的
ALLOWED_HOSTS变量实际上是做什么
的
?
http
我
应该在Django项目的配置中将ALLOWED_HOSTS设置为属于我
的
主机名这到底是什么意思?为什么
攻击者
不简单地
使用
“正确
的
”主机头并
对
垃圾邮件
密码</e
浏览 0
提问于2013-11-19
得票数 21
3
回答
签一个随机数
的
好处?
digital-signature
、
random
、
password-reset
例如,发送到
电子邮件
的
密码
重置
链接通常包括一个base64编码
的
随机数,以
防止
有人猜测
密码
重置
链接是什么。如果该数字是加密签名或散列
的
,它是否以任何方式提高了安全性?比如说,256位
的
随机性和256位
的
签名,这比仅仅
使用
512位
的
随机性更安全吗?
浏览 0
提问于2019-09-12
得票数 2
回答已采纳
2
回答
凭据更改后需要身份验证
javascript
、
security
、
authentication
这是一种糟糕
的
模式还是最佳实践。假设用户在“忘记
密码
”之后成功更改了他
的
密码
。
我
是否需要将他重定向到登录页面并提示他登录,或者
我
应该让他自动登录到应用程序? 如果有的话,为什么呢?
浏览 0
提问于2016-03-17
得票数 1
3
回答
生成管理员用户
密码
重置
请求
的
Wordpress黑客
wordpress
、
password-reset
我
已经收到了一些
密码
重置
电子邮件
的
“管理”用户(即登录名管理)在一个旧
的
(但修补了最新
的
) Wordpress安装。网站所有者没有请求这些
密码
重置
。
攻击者
极不可能访问
电子邮件
地址(或者他们可以在web服务器和
电子邮件
客户端
的
路径中截获数据)
密码
重置
发送到。 为什么黑客会试图重新设置
密码
?(
我
已
浏览 0
提问于2017-12-27
得票数 6
回答已采纳
1
回答
主机头注入
http-headers
、
penetration-testing
、
application-security
、
websecurity
我
是一个安全和阅读主机头注入
的
初学者。
我
测试了一个应用程序是否存在此漏洞,并且可能存在一些请求,但开发人员实现了无缓存、无存储标志,并且该漏洞未处于
密码
重置
请求中。正如我所理解
的
那样,为了利用这个漏洞,
我
更改了主机头。所以我想知道为什么它会是一个漏洞,为什么用户会改变应用程序
的
主机?
攻击者
如何
利用它呢?
浏览 6
提问于2017-12-19
得票数 2
回答已采纳
1
回答
使用
ASP.NET身份
密码
重置
功能时需要用户发送
电子邮件
passwords
、
identity
、
asp.net-core
一个特性是
密码
重置
,
我
发现所有示例(例如IdentityServer4 4快速启动和ASP.NET标识示例)都倾向于这样做:这是必要
的
,因为当您
使用
密码
重置
令牌时需要一个ApplicationUser,这只能通
浏览 0
提问于2018-01-23
得票数 0
回答已采纳
2
回答
.NET网络API
密码
重置
security
、
authentication
、
passwords
、
asp.net-web-api
、
reset-password
重置
密码
的
正确方法似乎是不立即
重置
密码
。相反,通过
电子邮件
向用户发送一个有时间限制
的
激活链接。这需要用户
的
手动干预,并且在任何阶段也不通过
电子邮件
传递
密码
。上述描述了
如何
实现
密码
重置
机制
: 无论
如何
,不要
重置
用户
的
密码
--“
重置
”
密码
<e
浏览 8
提问于2014-04-16
得票数 1
回答已采纳
1
回答
当
重置
密码
时,让管理员更改用户
的
电子邮件
是否有害?
web-application
、
csrf
、
password-reset
我
对
如何
实现
密码
重置
功能感到困惑。
我
正在测试一个具有两个角色
的
Web应用程序--管理员和普通用户。只有管理员才能
使用
密码
重置
功能(没有MFLAC)。如果
攻击者
更改“
电子邮件
”字段中
的
值并输入"attacker@mail.com“,则应用程序将向
攻击者
发送链接,从而允许
攻击者
更改
密码
。值得一提
的
浏览 0
提问于2018-01-09
得票数 2
4
回答
如何
实现“忘记
密码
”功能?
password-management
、
password-reset
对于我
的
项目,
我
需要一个“忘记
密码
”
的
功能。如果用户想更改他
的
密码
,
我
可以创建一个附加到“更改
密码
请求”
的
唯一令牌uniqueTokenFor
浏览 0
提问于2016-03-18
得票数 84
回答已采纳
3
回答
使用
sha1
密码
散列
进行
密码
恢复
php
、
hash
、
password-protection
我
想为
我
的
网站实现一个忘记
密码
的
功能。
我
使用
sha1
对
密码
进行
哈希处理。
我
如何
为用户恢复它? 实现这一点
的
最佳方法是什么?
浏览 7
提问于2010-10-27
得票数 5
回答已采纳
1
回答
Django
密码
重置
中
的
无效
电子邮件
django
、
django-authentication
当用户
使用
django.contrib.auth.urls输入他/她
的
电子邮件
id时,
我
正在实现Django
密码
重置
,以发送恢复
密码
链接。这是Django文档里
的
如果<em
浏览 1
提问于2018-11-29
得票数 0
回答已采纳
1
回答
自动连接
firebase
、
firebase-authentication
在我们
的
应用程序中,我们
使用
“每个
电子邮件
地址一个帐户”。我们希望用户
使用
特定
的
身份验证提供者注册,我们会跟踪它,并坚持
使用
它。
我
今天注意到
的
是,如果
我
使用
Google或Facebook提供商登录,
我
就可以给自己发送一个
密码
重置
链接到相关
的
电子邮件
地址,这样
我
就可以
使用
电子邮件</em
浏览 3
提问于2017-02-08
得票数 5
2
回答
SSL证书丢失
的
后果
authentication
、
encryption
、
ssl-certificate
我
正在设计一个系统,其中有可能将SSL证书丢失给
攻击者
。 这是来自<
浏览 6
提问于2012-10-08
得票数 0
1
回答
为什么主题验证是检测MitM攻击
的
有效手段?
tls
、
certificates
、
man-in-the-middle
、
tls-intercept
例如,
攻击者
在中间
人
攻击中
使用
来自同一CA
的
另一个证书伪造可信CA
的
原始服务器证书。为什么可以
使用
客户端
的
主题验证
来
检测到这一点?(
我
不是在问协议
的
一般工作原理、所有的
机制
,而是在这些
机制
的
框架内,假设
对
TLS有一定
的
了解,主题验证是
如何
专门
防止
MitM攻击
的
,而不需要解释T
浏览 0
提问于2019-10-22
得票数 0
回答已采纳
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
如何构建互联网金融信息安全?从这四方面入手,绝对没有错
如何构建互联网金融信息安全?从以下四方面入手
电子商务服务平台CubeCart两个高危漏洞,陷用户于风险之中
用户投诉美国交友平台OKCupid:系统漏洞致帐号遭攻击
PDF阅读器开发商福昕发布通知称服务器遭到入侵可能存在数据泄露
热门
标签
更多标签
活动推荐
运营活动
广告
关闭
领券