腾讯客服--微信-微信号和昵称有什么区别？
微信号和昵称有什么区别？
微信号：这是系统中的唯一识别号，好友可以通微信号搜索到您；微信号可更改1次（微信设置=》我的帐号=》微信号=》修改）。
昵称：属于微信的别名，设置了昵称可以让您的朋友更容易识别出您，允许多次更改。
以上信息是否已解决您的问题？你的微信号是如何被黑的？(下)_301在路上_传送门
你的微信号是如何被黑的？(下)
本文绝对不是标题党，不信你可以去看。
密码重置漏洞，是一个十分普遍并且危害性很高的漏洞。此漏洞的存在和产生主要是因为程序逻辑存在缺陷，所以一般的漏洞扫描器并不能发现这一类漏洞。
不过，虽然自动化的漏洞扫描器发现不了，但是你看了上下这两篇文章，你就能学会如何寻找了啊~
本文将继续讨论密码重置漏洞。四.验证凭据和用户账户(手机号/邮箱)未进行有效的绑定漏洞案例某厂家通行证任意密码重置(漏洞作者：JulyTornado)
此案例，验证通过状态未与账户进行有效绑定，攻击者首先使用自己的手机号获取验证码，到了重置密码步骤时，抓包，修改为目标手机号码即可。不只是手机，邮箱验证同样会出现这类问题：漏洞案例某网站修改任意用户密码漏洞(漏洞作者：忽然之间)
输入要重置的用户名，然后提交，这时候系统将会向邮件中发送验证码，此时我们选择重新发送，抓包，将邮箱修改为我们自己的邮箱，这样就通过了验证过程。
很明显，开发者并没有想到重新发送这一功能的目标邮箱地址会被人篡改，所以未进行相应的防范。五.验证凭证和账户的越权绑定
四中说明了未进行有效绑定的情况，现在我们来说一下越权绑定的情况。漏洞案例某邮箱可直接修改其他用户密码：(漏洞作者：saviour)
问题出在手机绑定业务上，当新注册一个用户后，页面会提示，绑定手机之后会更加安全。
接着进入手机绑定页面，可以看到url中参数中包含了手机所对应的邮箱，将此邮箱修改为目标邮箱即可对其成功绑定，然后使用密码找回功能中的手机找回，继而对此邮箱对应的密码进行找回。
除了越权绑定之外，还有越权修改绑定，当然，这些都是平行权限间的越权。漏洞案例某网站可修改任意用户密码(漏洞作者：Vinc)
在此案例中，APP中的个人资料修改页面没有进行有效的权限验证，导致可以通过抓包，修改用户uid为目标用户，进而修改目标用户的绑定手机号，然后就可以进行密码重置了。
甚至在有些案例中，可以任意修改绑定邮箱，没有任何限制，也不需要任何越权或者绕过漏洞案例某网站任意用户密码重置漏洞(漏洞作者：0x 80)
在其密码重置页面，修改用户uid即可跳转至不同用户的修改页面，页面中本身就存在绑定邮箱修改功能，直接就可以修改，没有任何验证。六.重置逻辑不够严谨，导致密码重置的验证步骤可跳过漏洞案例某手机网站同步密码随意修改，短信通讯录随意查看(漏洞作者：noob)
在此案例中，在进行密码重置时，会要求进行身份验证，但我们可以通过修改url，直接访问重置密码页面，将验证页面跳过，进而重置密码。漏洞案例某系统设计缺陷致使系统沦陷(漏洞作者:BMa)
在此案例中，同样是输入用户名之后，抓包，直接修改步骤为密码重置步骤，进而修改密码，从而绕过了身份验证环节。七.服务端验证环节存在疏漏漏洞案例某网站任意老板密码修改：(漏洞作者：se55i0n)
首先进行合法的密码重置环节，在最后一个环节提交新密码时，进行抓包，修改uid为目标用户的uid，即可重置密码。
很明显是开发人员对密码重置功能没有作为一个整体进行设计，而是相互剥离，最后一个功能是一个单独的功能块，你提交指定的uid，就可以进行重置功能。没有将身份验证和密码重置功能进行有效的结合。漏洞案例某网站任意密码找回2(漏洞作者：BMa)
在此案例中，在最后一步修改新密码时，抓包修改loginid和userid为目标重置用户(而这两个值是可以公开获取到的)，就能成功重置。
问题的本质还是，没有将身份验证和密码重置功能进行有效的结合。漏洞案例某系统疑似存在通用设计问题(漏洞作者：Teufel)
在此案例的重置密码环节，随意输入密码问题之后提交，然后抓包删除自己的密保答案，即可通过验证修改密码。可见，这其中的程序逻辑存在很大问题。八.本地参与了密码重置的验证过程漏洞案例看我如何某系统任意用户密码（作者：hkAssassin）
在此案例中，拦截服务器返回的响应包，然后修改响应包体的内容，即可通过验证。九.注册用户覆盖漏洞案例某网站奇葩方式重置任意用户密码(admin用户演示)
在此案例中，可以注册相同的用户名来覆盖原用户的密码，这里覆盖的只是密码，用户信息，资料，订单等均为原来用户的。这相当于获取了用户账户的控制权。
在注册用户时,如果先输入用户名，在鼠标离开后会进行用户名是否存在的校验，但是如果把用户名留着最后输入，比如输入一个已有的用户名admin，在鼠标离开输入框并点击提交按钮后，虽然也会进行用户名是否存在的校验，但表单仍然提交上去了。漏洞案例某站任意用户注册覆盖（漏洞作者：F4ther）
注册用户时，先填写不重复的用户名，绕过此处的限制，在提交之后抓包，修改为想要重置的用户名即可。
好了，文章在此就告一段落吧，上下两节对密码重置漏洞的发生场景进行了尽可能详细地覆盖，不过也只是抛砖引玉，大家有更好的想法的话，欢迎留言。
另外，有读者希望可以做成一张图，于是：
最后欢迎大家持续关注公众号~其他推荐：0、1、2、3、4、5、6、7、8、9、10、长按二维码关注301公众号合作联系：2036234（备注单位+名字）
觉得不错，分享给更多人看到
301在路上 微信二维码
分享这篇文章
8月2日 22:52
301在路上 最新文章你好，你的微信号多少？--在线法律咨询|律师365(64365.com)
大家都在搜：
微信扫一扫 免费问律师手机扫一扫 法律兜里装
你好，你的微信号多少？
你好，你的微信号多少？
来自移动端
ask****200
1分钟提交法律咨询 2000多位 信得过的好律师 为您提供专业解答
其他人都在看
最佳律师回复
（咨询请说明来自律师365）
地区：山西&长治
|解答问题：297
您好，您点击我头像就知道了
其他律师回复
（咨询请说明来自律师365）
地区：山西&长治
|解答问题：582
微信是手机号
无锡其他律师
相关法律咨询
热门其他法律百科
今天为大家解读养老保险个人缴费比例基数的相关知识，那么养老保险个人缴费比例基数，上海养老保险手续，上海养老保险缴纳比例是什么，更多内容尽在律师365百科栏目，希望对你有所帮助，和小编一起来了解一下吧！
其他相关知识
其他相关专题
周边专业律师
扫描二维码
更多惊喜等着您！
1分钟提问，免费短信提醒
律师365，优质法律服务平台
400-64365-60服务时间：周一至周六8：00~22:00
服务指南平台保障律师入驻
|||||Copyright(C) 成都六四三六五科技有限公司 版权所有 蜀ICP备号 增值电信业务经营许可证(川B2-)你的微信号码是什么？_百度知道
你的微信号码是什么？
我有更好的答案
若客户需要农行微信公众号，可参考以下信息：农行提供综合服务的微信银行服务号是“中国农业银行”，微信账号Ebanking-abchina。该平台集成了“智慧e站”、“金融e站”、“生活e站”三大服务板块，是农业银行基于当前主流社交工具搭建的社交服务平台，为客户提供集资讯服务、金融服务和增值服务为一体的综合性金融服务，将带给客户最新潮、便捷的移动社交金融体验。
主营：开展与银行业务有关的客户咨询报务（不得直接从事银行金融业务）
为您推荐：
其他类似问题
您可能关注的内容
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。}