Testen des Passwort-Reset-Prozesses

Die Funktion zum Ändern und Zurücksetzen des Anwendungskennworts ist ein Selbstbedienungsmechanismus zum Ändern oder Zurücksetzen eines Kennworts für Benutzer ohne Administratoreingriff. Bei schlechter Sicherheit ermöglicht es einem Angreifer, das Passwort eines jeden Benutzers zu ändern und damit sein Konto zu übernehmen. Der Mechanismus zum Zurücksetzen des Kennworts sollte vor einer unbefugten Änderung des Kennworts schützen, z. B. durch die Verwendung einmaliger Autorisierungstoxipen, die per E-Mail gesendet werden.

In einer der untersuchten Anwendungen überprüfte der Server das Token, das die Kennwortänderung genehmigte, nicht. Wenn Sie die E-Mail des Benutzers kennen, können Sie sein Kennwort ändern, indem Sie die entsprechende Anforderung an den folgenden Server senden:

Wenn Sie die E-Mail des Benutzers kennen, können Sie sein Kennwort ändern, indem Sie die entsprechende Anforderung an den Server senden.

Als Antwort hat der Server eine Bestätigung der folgenden Kennwortänderung gesendet:

Bestätigung der Passwortänderung

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Speichere in deinen Favoriten diesen permalink.

Podziel się swoją opinią na temat artykułu