Funkcja zmiany i resetowania hasła aplikacji to samoobsługowy mechanizm zmiany lub resetowania hasła dla użytkowników bez interwencji administratora. W przypadku jego słabego zabezpieczenia pozwala atakującemu na zmianę hasła dowolnego użytkownika, a tym samym przejęcie jego konta. Należy zabezpieczyć mechanizm resetowania hasła przed nieuprawnioną jego zmianą np. poprzez wykorzystanie jednorazowych tokenów autoryzujących wysyłanych na maila.
W jednej z badanych aplikacji serwer nie weryfikował tokenu autoryzującego zmianę hasła. Znając e-mail użytkownika można zmienić jego hasło wysyłając odpowiednie żądanie do serwera zaprezentowane poniżej:
W odpowiedzi serwer wysłał potwierdzenie zmiany hasła zaprezentowane poniżej:
