0x00 密码找回凭证太弱，可以被爆破

0x01 密码找回凭证可以在客户端获取

在密码找回时抓包分析，看看有没有token的出现。

0x02 找回密码的答案在网页源码中出现

0x03 找回密码的验证比较薄弱

比如找回密码的链接，最后的token是当前时间戳的md5值，或者是用户名加时间之类的。

0x04 提交修改的时候出现逻辑问题

比如提交修改的时候会跟随一个UID，篡改UID即可修改其他用户的密码

0x05 找回密码的邮箱和手机号被修改

逻辑问题导致可以修改邮箱或手机被任意修改。

0x06 跳过验证步骤、找回方式、直接到设置新密码页面

0x07 找回密码时，没有在服务器上验证用户名与邮箱是否匹配便发送了验证码

0x08 在本地进行验证

0x09 找回密码的地方存在注入漏洞