Изменение и сброс пароля приложения — это механизм самообслуживания для изменения или сброса пароля для пользователей без вмешательства администратора. Если он слабый, он позволяет злоумышленнику изменить пароль любого пользователя и, таким образом, захватить его учетную запись. Вы должны защитить механизм сброса пароля от несанкционированных изменений, например, с помощью одноразовых маркеров авторизации, отправленных на электронную почту.
В одном из протестированных приложений сервер не проверил маркер авторизации смены пароля. Зная электронную почту пользователя, вы можете изменить его пароль, отправив соответствующий запрос на сервер, представленный ниже:
В ответ сервер отправил подтверждение смены пароля, представленное ниже:
