Testare il processo di reimpostazione della password

La modifica e la reimpostazione della password dell'applicazione è un meccanismo self-service per la modifica o la reimpostazione di una password per gli utenti senza l'intervento dell'amministratore. Se è debole, consente a un utente malintenzionato di cambiare la password di qualsiasi utente e quindi dirottare il proprio account. È necessario proteggere il meccanismo di reimpostazione della password da modifiche non autorizzate, ad esempio utilizzando token di autorizzazione una t-time inviati all'e-mail.

In una delle applicazioni testate, il server non ha verificato il token di autorizzazione alla modifica della password. Conoscendo l'e-mail dell'utente, è possibile modificare la password inviando l'apposta richiesta al server presentato di seguito:

Conoscendo l'indirizzo di posta elettronica di un utente, è possibile modificarne la password inviando una richiesta al server

In risposta, il server ha inviato una conferma della modifica della password presentata di seguito:

conferma della modifica della password

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Aggiungi ai preferiti : permalink.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *