Funkcja zmiany i resetowania hasła aplikacji to samoobsługowy mechanizm zmiany lub resetowania hasła dla użytkowników bez interwencji administratora. W przypadku jego słabego zabezpieczenia pozwala atakującemu na zmianę hasła dowolnego użytkownika, a tym samym przejęcie jego konta. Należy zabezpieczyć mechanizm resetowania hasła przed nieuprawnioną jego zmianą np. poprzez wykorzystanie jednorazowych tokenów autoryzujących wysyłanych na maila.
W jednej z badanych aplikacji serwer nie weryfikował tokenu autoryzującego zmianę hasła. Znając e-mail użytkownika można zmienić jego hasło wysyłając odpowiednie żądanie do serwera zaprezentowane poniżej:
![Znając e-mail użytkownika można zmienić jego hasło wysyłając odpowiednie żądanie do serwera](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_625,h_245/https://my127001.pl/wp-content/uploads/2018/12/żądanie.png)
W odpowiedzi serwer wysłał potwierdzenie zmiany hasła zaprezentowane poniżej:
![potwierdzenie zmiany hasła](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_617,h_429/https://my127001.pl/wp-content/uploads/2018/12/odpowiedź.png)