测试密码重置过程

应用密码更改和重置是一种自助服务机制,用于在无需管理员干预的情况下更改或重置用户的密码。 如果它是弱的,它允许攻击者更改任何用户的密码,从而劫持他们的帐户。 您必须保护密码重置机制免受未经授权的更改,例如使用发送到电子邮件的一次性授权令牌。

在测试的一个应用程序中,服务器没有验证密码更改授权令牌。 了解用户的电子邮件后,您可以通过向下文提交的服务器发送适当的请求来更改其密码:

了解用户的电子邮件地址后,您可以通过向服务器发送请求来更改其密码

作为回应,服务器发送了以下提供的密码更改确认:

密码更改确认

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注