Tester le processus de réinitialisation du mot de passe

La fonction de modification et de réinitialisation du mot de passe de l’application est un mécanisme libre-service de modification ou de réinitialisation du mot de passe pour les utilisateurs sans intervention de l’administrateur. En cas de mauvaise sécurité, il permet à un attaquant de changer le mot de passe de n’importe quel utilisateur et donc de prendre en charge son compte. Le mécanisme de réinitialisation du mot de passe doit être protégé contre toute modification non autorisée, par exemple en utilisant des jetons d’autorisation uniques envoyés par courrier.

Dans l’une des applications étudiées, le serveur n’a pas vérifié le jeton autorisant la modification du mot de passe. En connaissant l’e-mail de l’utilisateur, vous pouvez modifier son mot de passe en envoyant la demande appropriée au serveur présentée ci-dessous:

En connaissant l’e-mail de l’utilisateur, vous pouvez modifier son mot de passe en envoyant la demande appropriée au serveur

En réponse, le serveur a envoyé une confirmation de changement de mot de passe présentée ci-dessous:

confirmation du changement de mot de passe

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Pour marque-pages : Permaliens.

Podziel się swoją opinią na temat artykułu