Testowanie procesu resetowania hasła

Funkcja zmiany i resetowania hasła aplikacji to samoobsługowy mechanizm zmiany lub resetowania hasła dla użytkowników bez interwencji administratora. W przypadku jego słabego zabezpieczenia pozwala atakującemu na zmianę hasła dowolnego użytkownika, a tym samym przejęcie jego konta. Należy zabezpieczyć mechanizm resetowania hasła przed nieuprawnioną jego zmianą np. poprzez wykorzystanie jednorazowych tokenów autoryzujących wysyłanych na maila.

W jednej z badanych aplikacji serwer nie weryfikował tokenu autoryzującego zmianę hasła. Znając e-mail użytkownika można zmienić jego hasło wysyłając odpowiednie żądanie do serwera zaprezentowane poniżej:



W odpowiedzi serwer wysłał potwierdzenie zmiany hasła zaprezentowane poniżej:


Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu