पासवर्ड रीसेट प्रक्रिया का परीक्षण

एप्लिकेशन पासवर्ड परिवर्तन और रीसेट प्रशासक हस्तक्षेप के बिना उपयोगकर्ताओं के लिए पासवर्ड बदलने या रीसेट करने के लिए एक स्वयं-सेवा तंत्र है। यदि यह कमजोर है, तो यह एक हमलावर को किसी भी उपयोगकर्ता का पासवर्ड बदलने की अनुमति देता है और इस प्रकार उनके खाते को हाइजैक कर लेता है। आपको पासवर्ड रीसेट तंत्र को अनधिकृत परिवर्तनों से बचाना होगा, उदाहरण के लिए ई-मेल पर भेजे गए एक बार प्राधिकरण टोकन का उपयोग करके।

परीक्षण किए गए आवेदनों में से एक में, सर्वर ने पासवर्ड परिवर्तन प्राधिकरण टोकन को सत्यापित नहीं किया। उपयोगकर्ता के ईमेल को जानते हुए, आप नीचे प्रस्तुत सर्वर पर उचित अनुरोध भेजकर उनका पासवर्ड बदल सकते हैं:

उपयोगकर्ता के ई-मेल पते को जानते हुए, आप सर्वर पर अनुरोध भेजकर अपना पासवर्ड बदल सकते हैं

इसके जवाब में, सर्वर ने नीचे प्रस्तुत पासवर्ड परिवर्तन पुष्टि भेजी:

पासवर्ड बदलने की पुष्टि

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा. आवश्यक फ़ील्ड चिह्नित हैं *