Die Funktion zum Ändern und Zurücksetzen des Anwendungskennworts ist ein Selbstbedienungsmechanismus zum Ändern oder Zurücksetzen eines Kennworts für Benutzer ohne Administratoreingriff. Bei schlechter Sicherheit ermöglicht es einem Angreifer, das Passwort eines jeden Benutzers zu ändern und damit sein Konto zu übernehmen. Der Mechanismus zum Zurücksetzen des Kennworts sollte vor einer unbefugten Änderung des Kennworts schützen, z. B. durch die Verwendung einmaliger Autorisierungstoxipen, die per E-Mail gesendet werden.
In einer der untersuchten Anwendungen überprüfte der Server das Token, das die Kennwortänderung genehmigte, nicht. Wenn Sie die E-Mail des Benutzers kennen, können Sie sein Kennwort ändern, indem Sie die entsprechende Anforderung an den folgenden Server senden:
Als Antwort hat der Server eine Bestätigung der folgenden Kennwortänderung gesendet:
