Тестирование процесса сброса пароля

Изменение и сброс пароля приложения — это механизм самообслуживания для изменения или сброса пароля для пользователей без вмешательства администратора. Если он слабый, он позволяет злоумышленнику изменить пароль любого пользователя и, таким образом, захватить его учетную запись. Вы должны защитить механизм сброса пароля от несанкционированных изменений, например, с помощью одноразовых маркеров авторизации, отправленных на электронную почту.

В одном из протестированных приложений сервер не проверил маркер авторизации смены пароля. Зная электронную почту пользователя, вы можете изменить его пароль, отправив соответствующий запрос на сервер, представленный ниже:

Зная адрес электронной почты пользователя, можно изменить его пароль, отправив запрос на сервер

В ответ сервер отправил подтверждение смены пароля, представленное ниже:

подтверждение смены пароля

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Закладка Постоянная ссылка.

Podziel się swoją opinią na temat artykułu