El cambio y restablecimiento de contraseñas de aplicación es un mecanismo de autoservicio para cambiar o restablecer una contraseña para los usuarios sin la intervención del administrador. Si es débil, permite a un atacante cambiar la contraseña de cualquier usuario y así secuestrar su cuenta. Debe proteger el mecanismo de restablecimiento de contraseña de cambios no autorizados, por ejemplo, mediante el uso de tokens de autorización de una sola vez enviados al correo electrónico.
En una de las aplicaciones probadas, el servidor no verificó el token de autorización de cambio de contraseña. Conociendo el correo electrónico del usuario, puede cambiar su contraseña enviando la solicitud apropiada al servidor que se presenta a continuación:
En respuesta, el servidor envió una confirmación de cambio de contraseña que se presenta a continuación:
