La modifica e la reimpostazione della password dell'applicazione è un meccanismo self-service per la modifica o la reimpostazione di una password per gli utenti senza l'intervento dell'amministratore. Se è debole, consente a un utente malintenzionato di cambiare la password di qualsiasi utente e quindi dirottare il proprio account. È necessario proteggere il meccanismo di reimpostazione della password da modifiche non autorizzate, ad esempio utilizzando token di autorizzazione una t-time inviati all'e-mail.
In una delle applicazioni testate, il server non ha verificato il token di autorizzazione alla modifica della password. Conoscendo l'e-mail dell'utente, è possibile modificare la password inviando l'apposta richiesta al server presentato di seguito:
![Conoscendo l'indirizzo di posta elettronica di un utente, è possibile modificarne la password inviando una richiesta al server](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_625,h_245/https://my127001.pl/wp-content/uploads/2018/12/żądanie.png)
In risposta, il server ha inviato una conferma della modifica della password presentata di seguito:
![conferma della modifica della password](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_617,h_429/https://my127001.pl/wp-content/uploads/2018/12/odpowiedź.png)