アプリケーションパスワードの変更とリセットは、管理者の介入なしにユーザーのパスワードを変更またはリセットするためのセルフサービスメカニズムです。 弱い場合、攻撃者はユーザーのパスワードを変更し、アカウントを乗っ取ることができます。 パスワード リセットメカニズムは、電子メールに送信されるワンタイム認証トークンを使用して、不正な変更から保護する必要があります。
テストされたアプリケーションの 1 つで、サーバーはパスワード変更許可トークンを検証しませんでした。 ユーザーの電子メールを知っている、あなたは、以下に提示されたサーバーに適切な要求を送信することによって、パスワードを変更することができます。
![ユーザーの電子メール アドレスを知っている場合は、サーバーに要求を送信してパスワードを変更できます。](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_625,h_245/https://my127001.pl/wp-content/uploads/2018/12/żądanie.png)
これに対し、サーバーは以下のパスワード変更確認を送信しました。
![パスワード変更の確認](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_617,h_429/https://my127001.pl/wp-content/uploads/2018/12/odpowiedź.png)