首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

密码找回插件LoveKKForget

插件简介 作为一个博客程序,Typecho竟然没有密码找回功能,可以说很是意外!也有很多网友对这个功能进行过增加,但大多需要对内核代码进行修改,这样对以后的升级很不友好。...插件功能很简单,就是一个密码找回的功能,同时考虑到smtp发信的丢信率等因素,将邮件发送改为了使用SendCloud进行发送。...功能说明 自动在login.php页面增加找回密码链接 后台可对SendCloud发信信息进行配置 可设置重置密码链接过期时间 使用说明 上传插件 激活插件 申请SendCloud账号并创建域名、修改NS...创建发信API 创建找回密码邮件模板 后台配置插件 SendCloud相关教程 首先打开SendCloud注册页面:https://www.sendcloud.net/signup.html 根据提示注册...在后台发送设置中新增发信域名,填入要作为发信的域名,建议为mail.domain.com格式,如:mail.usebsd.com 根据SendCloud的要求到域名NS处新增TXT、MX解析,等待SendCloud

1.5K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    逻辑漏洞之密码找回漏洞(semcms)

    什么是密码找回漏洞 利用漏洞修改他人帐号密码,甚至修改管理员的密码。...一般流程 1 首先尝试正常找回密码流程,选择不同的找回方式,记录所有数据包 2 分析数据包,找到敏感部分 3 分析后台找回机制所采用的验证手段 4 修改数据包验证推测 可能产生该漏洞的情况...4.3 重置密码token 5.重新绑定 5.1 手机绑定(任意用户绑上自己可控的安全手机,就可以重置任意人的手机号码了) 5.2 邮箱绑定 6.服务器验证 6.1 最终提交步骤 6.2 服务器验证可控内容...8.找回步骤 8.1 跳过验证步骤、找回方式,直接到设置新密码页面 9.本地验证 9.1 在本地验证服务器的返回信息,确定是否执行重置密码,但是其返回的信息是可控的内容,或者可以得到的内容(密码找回凭证在客户端获取...退出登录,进入后台,选择找回密码 ? ? 确认找回 这里没有配置邮箱服务,所以报错,实际网站管理员是会开启邮箱服务的 ? 这里的绕过payload:?

    4.3K33

    后台服务器开发总结

    今天打算对之前进行多年的服务器端开发进行下技术总结,以供大家参考。...个人对服务器开发基础框架平台有以下几点总结(会随时更新): 1、  网络设计(BIO(java.net包)和NIO(java.nio.channels包)两种方式,参考MINA(C/S), JETTY(...,个人根据经验分析,需要每次创建的对象是请求对象和结果对象,中间过程的所需要的功能对象一般都可以做成重用的方式) 18、JVM的参数优化(类加载技术(包含热部署)属于外部部署,ANT开源项目) 19、服务器部署的目录结构...目前才认识到大学里的基础知识给服务器开发(应该是很多方面)提供了很多基础设计的思想(只能怪自己当初大学里没有好好学习啊,嘿嘿)。 9和11可以合并。...StandardJava ReflectionJava BeansJava 事务 Java EEJMSJMXJNDIRMIJDBCJTAJCAEJBJAASServlet/JSPJDO 参考推荐: 服务器开发总结

    2.1K50

    【Blog.Idp开源】支持在线密码找回

    01 密码找回 认证中心绕不开的话题 Architecture Design....开源这么久了,一直没有机会去处理密码找回这个需求,官方当然也提供了各种扩展方法,但是这些扩展都不是最重要的,那找回密码什么是最重要的呢?——答案就是服务器和客户端的通讯。...常见的密码找回很简单,要么发短信,要么发邮件,只有这样才能保证信息的安全和稳定性,但是我毕竟没有这些额外的付费服务。...当然还有其他的办法,就是使用类似对接QQ、微信、GitHub、Google这种第三方认证平台做个二次登录,来保证唯一性,把密码找回转嫁到第三方平台上,这种方案我个人感觉不太喜欢,既然自己已经做认证平台了

    58320

    APP安全测试 该如何渗透检测APP存在的漏洞

    首先要了解客户的IOS APP应用使用的是什么架构,经过我们安全工程师的详细检查与代码的分析,采用的是网站语言开发,PHP+mysql数据库+VUE组合开发的,服务器系统是Linux centos版本。...接下来我们SINE安全工程师对客户APP的正常功能比如:用户注册,用户密码找回,登录,以及用户留言,用户头像上传,充币提币,二次密码等功能进行了全面的渗透测试服务,在用户留言这里发现可以写入恶意的XSS...我们对上传的网站木马后门也叫webshell,客户网站后台存在文件上传漏洞,可以上传任意格式的文件,我们又登录客户的服务器对nginx的日志进行分析处理,发现了攻击者的痕迹,在12月20号晚上,XSS漏洞获取后台权限并通过文件上传漏洞上传了...webshell获取到了APP的数据库配置文件,通过webshell内置的mysql连接功能,直接对会员数据进行了修改,至此客户会员数据被篡改的问题得以圆满的解决,我们又对其他功能进行渗透测试发现,用户密码找回功能存在逻辑漏洞...这次APP渗透测试总共发现三个漏洞,XSS跨站漏洞,文件上传漏洞,用户密码找回逻辑漏洞,这些漏洞在我们安全界来说属于高危漏洞,可以对APP,网站,服务器造成重大的影响,不可忽视,APP安全了,带来的也是用户的数据安全

    1.6K30

    APP逻辑漏洞在渗透测试中 该如何安全的检测

    首先要了解客户的IOS APP应用使用的是什么架构,经过我们安全工程师的详细检查与代码的分析,采用的是网站语言开发,PHP+mysql数据库+VUE组合开发的,服务器系统是Linux centos版本。...接下来我们SINE安全工程师对客户APP的正常功能比如:用户注册,用户密码找回,登录,以及用户留言,用户头像上传,充币提币,二次密码等功能进行了全面的渗透测试服务,在用户留言这里发现可以写入恶意的XSS...我们对上传的网站木马后门也叫webshell,客户网站后台存在文件上传漏洞,可以上传任意格式的文件,我们又登录客户的服务器对nginx的日志进行分析处理,发现了攻击者的痕迹,在12月20号晚上,XSS漏洞获取后台权限并通过文件上传漏洞上传了...webshell获取到了APP的数据库配置文件,通过webshell内置的mysql连接功能,直接对会员数据进行了修改,至此客户会员数据被篡改的问题得以圆满的解决,我们又对其他功能进行渗透测试发现,用户密码找回功能存在逻辑漏洞...这次APP渗透测试总共发现三个漏洞,XSS跨站漏洞,文件上传漏洞,用户密码找回逻辑漏洞,这些漏洞在我们安全界来说属于高危漏洞,可以对APP,网站,服务器造成重大的影响,不可忽视,APP安全了,带来的也是用户的数据安全

    1.2K10

    CobaltStrike团体服务器部署并后台运行

    我把团队服务器放在ECS上,出现了两个问题:1.客户端无法连接到团队服务器;2.SSH连接ECS,当关闭SSH后发现服务端进程也关闭了。 今天就这两个问题来解决。...第一个问题,无法连接团队服务器,首先查看teamserver服务是否正常启动! ....其余进程组称为后台进程组。 根据POSIX.1定义: 挂断信号(SIGHUP)默认的动作是终止程序。 当终端接口检测到网络连接断开,将挂断信号发送给控制进程(会话期首进程)。...键入screen 在新窗口执行我们需要执行的命令 按下组合键Ctrl a d关闭窗口并后台执行,可以看到有会话为脱离状态 screen –ls查看后台会话 screen –r 10303重新进入会话窗口

    5.5K60

    常见逻辑漏洞

    密码找回逻辑漏洞 密码找回逻辑测试一般流程 首先尝试正常密码找回流程,选择不同找回方式,记录所有的数据包 分析数据包,找到敏感部分 分析后台找回机制采用的验证手段 修改数据包验证推测 常见思路及案列 用户凭证...(验证码)暴力破解 验证码为4位&6位的数字 在返回请求中已包含凭证 url返回验证码及token例子 使用查看元素或者burpsuite查看返回包 本地进行凭证比对 密码找回凭证在页面中,当比对成功才会进行发起请求...进行本地比对 邮箱弱token 通过修改返回的token中加密的uid值,间接修改其他用户密码 Vc=参数后面的是md5加密,解密后得到的是uid,然后通过修改uid转md5后即可任意修改密码 用户名、服务器时间...填写完自己的手机号和验证码,抓包将username值改为其他id 邮箱token未绑定 找回密码链接发送到邮箱内,查看连接,直接填写上用户ID和邮箱地址即可更改密码 自己邮箱绑定其他用户id 服务器验证返回账户名...找回密码处填写正确邮箱得到用户名 上一步已经得到正确的用户名了,这一步填写自己的邮箱,并且写入正确的邮箱验证码,然后修改uid为上一步的用户即可 跳过服务器验证 通过抓取数据包直接把问题答案删除跳过认证

    69020

    让Linux服务器后台执行任务

    ,终端挂了,我就和服务器断开连接了,特别不爽,那么有没有办法在终端关闭之后还继续跑着服务器上的 jupyter-notebook 呢,答案肯定是有的 nohup 用 nohup 这个命令,就可以在终端退出连接后服务器上依旧在跑着我们的代码...0.0.0.0 这样子的话程序的输出就默认会输出到同级目录的 nohup.out 文件中,并且这个终端也还是被占用了,不能干其他事,因此,上面这样并没有什么卵用 想起我们可能用 & 符号让当前任务在后台运行而当前终端可以继续干其他的事...,那么在这里道理也是一样的,我们可以写成下面这样 $ nohup jupyter-notebook --ip 0.0.0.0 & 这样子的话,jupyter 就在后台运行,不会影响当前终端,并且退出之后...jupyter-notebook 还在继续运行,依然可以通过主机进行远程访问服务器,此时的输出在 nohup.out 里面 我们可以通过 jobs 命令查看当前后台的任务 但是服务器要是出了什么事...stdout 如果不加 & 的话就会新建一个名为 1 的文件 ) $ nohup jupyter-notebook --ip 0.0.0.0 >jupyter.log 2>&1 & kill 已经让程序在服务器后台自动运行了

    1.8K20

    账号攻击的几种常见

    将 mobile 参数值定为枚举变量、以常见国人姓名拼音 top500 和常见后台账号作为字典,在枚举结果中用,应答包长度为 561 的均为有效账号: 其中,既有 chenying、chenyun 这类普通账号...,也有 admin、ceshi 这类后台账号,结果存为 username.txt: ---- 密码可暴破 服务端有密码试错上限的机制,错误 5 次则一小时内禁止登录: 查看登录请求: logintime...参数名和参数值引起我注意,刚好也是试错上限 5,尝试将值其改为 4 后,服务器又正常响应,或者,删除整改 logintime 后,也可绕过试错限制。...比如,系统本来只允许用手机号当用户名进行注册,利用该漏洞,可以创建账号 yangyangwithgnu/abcd1234,登录确认: ---- 任意账号密码找回 密码找回页面 https://www.xxxx.com...---- 防御措施 通常来说,密码找回逻辑中含有用户标识(用户名、用户 ID、cookie)、接收端(手机、邮箱)、凭证(验证码、token)、当前步骤等四个要素,这四个要素必须完整关联,否则可能导致任意账号密码找回漏洞

    86610

    任意用户密码重置(一):重置凭证泄漏

    在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面。其中,密码找回功能是重灾区。...登录邮箱查看网站发过来的密码找回邮件: ? 发现两者一致,那么,几乎可以确认服务端将密码找回的校验码泄漏至客户端,可导致任意账号密码重置问题。 尝试找回普通账号的密码。...从该网站的域名注册信息中找到联系人的邮箱为 fishliu@xxxx.cn,可推测后台用户的邮箱后缀为 @xxxx.cn,所以,用常见后台用户名简单调整可构造出后台用户邮箱字典,枚举出大量后台用户: ?...同理可重置这些后台用户的账号密码,为避免影响业务,不再实际操作。 案例二 用邮件找回密码时,带凭证的重置链接泄漏至客户端,抓捕可获取。用攻击者账号走一次密码找回流程。...防御措施上,密码找回的凭证切勿下发客户端,另外,校验邮箱是否有效应添加图片验证码,以防止关键参数被枚举。

    3.6K60
    领券