パスワードのリセット処理をテストする

アプリケーションパスワードの変更とリセットは、管理者の介入なしにユーザーのパスワードを変更またはリセットするためのセルフサービスメカニズムです。 弱い場合、攻撃者はユーザーのパスワードを変更し、アカウントを乗っ取ることができます。 パスワード リセットメカニズムは、電子メールに送信されるワンタイム認証トークンを使用して、不正な変更から保護する必要があります。

テストされたアプリケーションの 1 つで、サーバーはパスワード変更許可トークンを検証しませんでした。 ユーザーの電子メールを知っている、あなたは、以下に提示されたサーバーに適切な要求を送信することによって、パスワードを変更することができます。

ユーザーの電子メール アドレスを知っている場合は、サーバーに要求を送信してパスワードを変更できます。

これに対し、サーバーは以下のパスワード変更確認を送信しました。

パスワード変更の確認

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

ブックマーク パーマリンク.

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です