Testare il processo di reimpostazione della password

La modifica e la reimpostazione della password dell'applicazione è un meccanismo self-service per la modifica o la reimpostazione di una password per gli utenti senza l'intervento dell'amministratore. Se è debole, consente a un utente malintenzionato di cambiare la password di qualsiasi utente e quindi dirottare il proprio account. È necessario proteggere il meccanismo di reimpostazione della password da modifiche non autorizzate, ad esempio utilizzando token di autorizzazione una t-time inviati all'e-mail.

In una delle applicazioni testate, il server non ha verificato il token di autorizzazione alla modifica della password. Conoscendo l'e-mail dell'utente, è possibile modificare la password inviando l'apposta richiesta al server presentato di seguito:

Conoscendo l'indirizzo di posta elettronica di un utente, è possibile modificarne la password inviando una richiesta al server

In risposta, il server ha inviato una conferma della modifica della password presentata di seguito:

conferma della modifica della password

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Aggiungi ai preferiti : permalink.

Podziel się swoją opinią na temat artykułu