Testowanie procesu resetowania hasła

Funkcja zmiany i resetowania hasła aplikacji to samoobsługowy mechanizm zmiany lub resetowania hasła dla użytkowników bez interwencji administratora. W przypadku jego słabego zabezpieczenia pozwala atakującemu na zmianę hasła dowolnego użytkownika, a tym samym przejęcie jego konta. Należy zabezpieczyć mechanizm resetowania hasła przed nieuprawnioną jego zmianą np. poprzez wykorzystanie jednorazowych tokenów autoryzujących wysyłanych na maila.

W jednej z badanych aplikacji serwer nie weryfikował tokenu autoryzującego zmianę hasła. Znając e-mail użytkownika można zmienić jego hasło wysyłając odpowiednie żądanie do serwera zaprezentowane poniżej:

Znając e-mail użytkownika można zmienić jego hasło wysyłając odpowiednie żądanie do serwera

W odpowiedzi serwer wysłał potwierdzenie zmiany hasła zaprezentowane poniżej:

potwierdzenie zmiany hasła
Tagi , , , .Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu