La modifica e la reimpostazione della password dell'applicazione è un meccanismo self-service per la modifica o la reimpostazione di una password per gli utenti senza l'intervento dell'amministratore. Se è debole, consente a un utente malintenzionato di cambiare la password di qualsiasi utente e quindi dirottare il proprio account. È necessario proteggere il meccanismo di reimpostazione della password da modifiche non autorizzate, ad esempio utilizzando token di autorizzazione una t-time inviati all'e-mail.
In una delle applicazioni testate, il server non ha verificato il token di autorizzazione alla modifica della password. Conoscendo l'e-mail dell'utente, è possibile modificare la password inviando l'apposta richiesta al server presentato di seguito:
In risposta, il server ha inviato una conferma della modifica della password presentata di seguito: