首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

密码找回插件LoveKKForget

插件简介 作为一个博客程序,Typecho竟然没有密码找回功能,可以说很是意外!也有很多网友对这个功能进行过增加,但大多需要对内核代码进行修改,这样对以后的升级很不友好。...插件功能很简单,就是一个密码找回的功能,同时考虑到smtp发信的丢信率等因素,将邮件发送改为了使用SendCloud进行发送。...功能说明 自动在login.php页面增加找回密码链接 后台可对SendCloud发信信息进行配置 可设置重置密码链接过期时间 使用说明 上传插件 激活插件 申请SendCloud账号并创建域名、修改NS...在后台发送设置中新增发信域名,填入要作为发信的域名,建议为mail.domain.com格式,如:mail.usebsd.com 根据SendCloud的要求到域名NS处新增TXT、MX解析,等待SendCloud...发送设置中点击左侧API User,并创建一个API_USER,类型选择触发,域名就为刚才创建的域名,记录下API_USER及API_KEY。

1.5K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    逻辑漏洞之密码找回漏洞(semcms)

    什么是密码找回漏洞 利用漏洞修改他人帐号密码,甚至修改管理员的密码。...1.用户凭证暴力破解 1.1 密码找回的凭证太弱,如只需要填入一个四位或者六位的纯数字,就可以重置密码,导致可以暴力破解。...,在密码找回时注意抓包查看所有url返回响应等,看是否有最终的凭证出现,这样就可以绕过手机或者安全邮箱了) 9.2 发送短信等验证信息的动作在本地进行,可以通过修改返回包进行控制 10.注入 10.1...确认找回 这里没有配置邮箱服务,所以报错,实际网站管理员是会开启邮箱服务的 ? 这里的绕过payload:?type=ok&umail=yc@qq.com,yc@qq.com 是管理员的邮箱。...实际操作中,可以从网页上管理员的联系方式中找到管理员的邮箱信息。 ? 这里密码随便输,认证码也随便填一个4位数(因为此cms的认证码是个由数字组成的四位数) ? 准备抓包,然后点击确认找回。

    4.3K33

    域名注册和域名NS管理的区别和联系

    注册域名之后就涉及到域名解析、域名加速、域名NS记录等等很多操作,接触的新手越多,魏艾斯博客越是觉得要普及一下域名注册和域名管理之间的联系和区别。...2、域名管理权 注册完后域名管理权在namesilo了,这里说的域名管理权也就是域名NS记录,也叫NameServer、域名NS、NS管理,下面截图有三条地址,一般使用两条就够了。...域名管理权操作也就是域名解析,也就是添加修改删除A记录、Cname记录、MX记录等等。 ? 举例说需要转移域名管理权到siteground。...也就是说你把NS记录放到谁家,域名管理权就在谁那里。和你在哪里注册付费购买域名是无关的,不发生关系的。你可以在A家买域名,B家管理域名解析。...提示:注意有的主机商提供了域名管理功能,比如国内的阿里云、腾讯云,国外的Siteground(使用的cpanel是国内外普及率极高的一款主机管理面板,自带域名管理功能)、Linode、Bluehost等

    8.4K20

    【Blog.Idp开源】支持在线密码找回

    01 密码找回 认证中心绕不开的话题 Architecture Design....在BCVP框架中,用到了IdentityServer4(下文统称Ids4)作为认证平台中心,丰富的API为我们管理认证、客户端、用户、资源、令牌等复杂逻辑提供了可能。...开源这么久了,一直没有机会去处理密码找回这个需求,官方当然也提供了各种扩展方法,但是这些扩展都不是最重要的,那找回密码什么是最重要的呢?——答案就是服务器和客户端的通讯。...常见的密码找回很简单,要么发短信,要么发邮件,只有这样才能保证信息的安全和稳定性,但是我毕竟没有这些额外的付费服务。...PS: 这种方案以后,目前超级管理员就暂时不能修改别人的密码了,所以我先试水一段时间,尽量让用户自己重置密码,管理员还是不要轻易的重置用户密码了,后期有需要也可以再加上。 03 忘记?

    58320

    域名邮箱-宝塔邮局管理

    简单来说是这样的,你要先注册一个企业,然后绑定微信,你就成为了这个管理员。接着绑定域名,给不同的人新建账户,填入信息,绑定微信,生成域名邮箱。...而且万一我要换个域名呢?只有6次机会。如果要新建一个前缀呢?似乎也不是很自由。 宝塔邮局管理器 这次宝塔面板上的邮局管理器真的是深得我意。安装非常的简单,支持多个域名,也没有用户上的限制。...https://cdntc.xhhdd.cc/2021/06/22/16242907020566.png) 首先自然是左上角的添加域名,不过只支持一级域名。...所以如果网站挂了CDN的就要注意了,要不就是换dns的服务商,像cf就支持根域名的cname跟mx同时存在。要不就是主站用www的二级域名,根域名做一个显性跳转也行。...添加域名之后,就会进行一个自动的配置,然后需要添加MX记录跟其他的TXT记录。 检测通过之后就可以在用户管理这里添加用户使用了。

    6.4K31

    域名邮箱-宝塔邮局管理

    简单来说是这样的,你要先注册一个企业,然后绑定微信,你就成为了这个管理员。接着绑定域名,给不同的人新建账户,填入信息,绑定微信,生成域名邮箱。...而且万一我要换个域名呢?只有6次机会。如果要新建一个前缀呢?似乎也不是很自由。宝塔邮局管理器这次宝塔面板上的邮局管理器真的是深得我意。安装非常的简单,支持多个域名,也没有用户上的限制。...图片https://cdntc.xhhdd.cc/2021/06/22/16242907020566.png)首先自然是左上角的添加域名,不过只支持一级域名。...所以如果网站挂了CDN的就要注意了,要不就是换dns的服务商,像cf就支持根域名的cname跟mx同时存在。要不就是主站用www的二级域名,根域名做一个显性跳转也行。...图片添加域名之后,就会进行一个自动的配置,然后需要添加MX记录跟其他的TXT记录。图片检测通过之后就可以在用户管理这里添加用户使用了。

    5K61

    讲诉eduSRC挖掘渗透经验

    :site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username 查找可注入点:site:域名...inurl:aspx|jsp|php|asp 查找上传漏洞:site:域名 inurl:file|load|editor|Files 找eweb编辑器: site:域名 inurl:ewebeditor...|editor|uploadfile|eweb|edit 存在的数据库:site:域名 filetype:mdb|asp|# 查看脚本类型:site:域名 filetype:asp/aspx/php/jsp...然后就是收集site:xxx.edu.cn intext:登陆/后台登陆/登陆管理等的登陆页面 ? 当一切都准备好我们就可以开始去捣鼓。 我找到一个管理登陆页面,图我就不贴了免得有人认出来。...尝试用弱口令和默认密码去登陆发现并没有成功,看见还有注册跟密码找回模块去看看。 ? 先看密码找回需要教师或者学生编码和预留邮箱,我收集的时候并没有收集到相关的邮箱信息所以我放弃这个模块。 ?

    10.9K20

    任意用户密码重置(一):重置凭证泄漏

    在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面。其中,密码找回功能是重灾区。...登录邮箱查看网站发过来的密码找回邮件: ? 发现两者一致,那么,几乎可以确认服务端将密码找回的校验码泄漏至客户端,可导致任意账号密码重置问题。 尝试找回普通账号的密码。...尝试找回管理员账号的密码。...从该网站的域名注册信息中找到联系人的邮箱为 fishliu@xxxx.cn,可推测后台用户的邮箱后缀为 @xxxx.cn,所以,用常见后台用户名简单调整可构造出后台用户邮箱字典,枚举出大量后台用户: ?...防御措施上,密码找回的凭证切勿下发客户端,另外,校验邮箱是否有效应添加图片验证码,以防止关键参数被枚举。

    3.6K60

    账号攻击的几种常见

    我在日常渗透时遇到个同时存在这几类问题的网站 https://www.xxxx.com/,该网站为某电商平台,合理结合几类问题,当时已拿到管理员权限,漏洞现已提交并确认修复,思路分享给大家。...useragent-switcher(https://mybrowseraddon.com/useragent-switcher.html)扩展,模拟手机终端进行访问;当然,其他手段也可考虑,你可以通过子域名枚举工具...比如,系统本来只允许用手机号当用户名进行注册,利用该漏洞,可以创建账号 yangyangwithgnu/abcd1234,登录确认: ---- 任意账号密码找回 密码找回页面 https://www.xxxx.com...尝试用 13908090133/PenTest1024 登录,成功进入系统: 同理可重置管理员账号,为避免影响业务,不再实际操作。...---- 防御措施 通常来说,密码找回逻辑中含有用户标识(用户名、用户 ID、cookie)、接收端(手机、邮箱)、凭证(验证码、token)、当前步骤等四个要素,这四个要素必须完整关联,否则可能导致任意账号密码找回漏洞

    86610

    域名和SSL证书监测管理平台部署过程

    前言 Domain Admin作为一个轻量级的监控方案,旨在帮助用户更有效地管理SSL证书,减少系统资源占用,确保网络安全。...Domain Admin是一个基于Python + Vue3.js技术栈实现的域名和SSL证书监测平台。本文记录部署过程。 核心功能:提供域名、SSL证书和托管证书文件的过期监控及到期提醒。...支持证书类型:包括单域名证书、多域名证书、通配符证书、IP证书和自签名证书。 证书部署:支持单一主机部署、多主机部署和动态主机部署。...数据库:支持多种数据库系统,方便数据存储和管理。 通知系统:集成了多种通知服务,以确保及时的监控警报。 方式一:通过pip安装,适用于快速部署和使用。.../logs:/app/logs' ports: - '804:8000' 后台功能 获取项目代码 【python源码】域名和SSL证书监测管理平台

    9310

    DomainsKit v2.7.1 – 域名管理工具

    简介 DomainsKit Script 是一个功能强大的基于 PHP 的脚本,由许多出色的域名和 IP 工具组成,它允许您立即搜索域名。...它有一个内置的 whois 域名工具、域名生成器工具、主机名和 IP 查找工具以及域名 DNS 记录工具。...功能 支持 1371 个 TLD 实时域名搜索 域名生成器 域名 Whois 搜索 主机名和 IP 查找 域名位置 DNS 记录查找 站点地图生成工具 最近的 Whois 搜索 实时货币兑换 通过附属公司赚取收益...通过广告赚取收入 谷歌分析就绪 SMTP 邮件支持 缓存以实现稳健的性能 内置联系表 强大的管理面板 100% 响应式设计 100% 经过渗透测试的安全性 自定义页面创建 安装快速简便 安装要求 Apache...端口 43 已解锁(通常在大多数主机上均已解锁) PHP ZIP 扩展(可选) 下载&演示 前端演示 https://domainskit.bitflan.com 管理演示 https://domainskit.bitflan.com

    9210

    使用DNSPod管理 华夏名网 DNS域名解析

    DNSPod 免费域名解析服务是很不错的,设置方便、解析稳定、生效快。...站长使用 DNSPod 一年多了,一直很稳定,以前分享过 DNSPod域名解析管理最新教程(以GoDaddy域名为例) ,今天看到蓝冰介绍的 华夏名网 域名如何修改DNS到DNSPOD,正好站长一直没有在国内注册过域名...其实,要使用DNSPod 管理其他地方注册的域名,都是通过修改DNS即可实现,思路都一样,只是不同域名商的操作界面不同罢了。...1.登录管理界面,进入域名管理: 2.点击要修改的域名 3.看到DNS解析服务器设置,点击后面的“点击编辑” 4.选择自定义,并修改为f1g1ns1.dnspod.net和f1g1ns2.dnspod.net...5.登录DNSPod,添加刚才的域名,然后等待DNS生效后,以后就可以在DNSPod进行域名解析了 关于DNSPod域名解析操作,请参考 DNSPod域名解析管理最新教程(以GoDaddy域名为例)

    5.2K30
    领券