アプリケーションパスワードの変更とリセットは、管理者の介入なしにユーザーのパスワードを変更またはリセットするためのセルフサービスメカニズムです。 弱い場合、攻撃者はユーザーのパスワードを変更し、アカウントを乗っ取ることができます。 パスワード リセットメカニズムは、電子メールに送信されるワンタイム認証トークンを使用して、不正な変更から保護する必要があります。
テストされたアプリケーションの 1 つで、サーバーはパスワード変更許可トークンを検証しませんでした。 ユーザーの電子メールを知っている、あなたは、以下に提示されたサーバーに適切な要求を送信することによって、パスワードを変更することができます。
これに対し、サーバーは以下のパスワード変更確認を送信しました。
