Szokujący błąd w resetowaniu haseł w aplikacjach webowych!
Szokujący błąd w resetowaniu haseł w aplikacjach webowych!
Czy wiesz, że istnieje prosty sposób na zresetowanie hasła dowolnego użytkownika w aplikacji webowej? Odkrycie to ujawnione zostało w ramach programu bug bounty, a jego konsekwencje mogą być alarmujące.
Problem dotyczy tokenów resetu hasła, które są generowane na podstawie czasu. Po zainicjowaniu resetu, użytkownik otrzymuje e-mail z unikalnym tokenem. Jednak co się stanie, jeśli w tej samej sekundzie zostanie wysłane żądanie resetu hasła dwóch użytkowników?
W takim przypadku, obaj użytkownicy otrzymują ten sam token! To oznacza, że osoba atakująca może przejąć konto ofiary, wykorzystując ten sam hash do finalnego resetu. To szokujące odkrycie pokazuje, jak ważne jest zabezpieczanie aplikacji przed takimi lukami.
Na podstawie: Źródła
![Marketingowy Raport: marketingowe decyzje podejmowane po kawie [2009-06-27]](https://www.czq.pl/CDN/wp_images/22.webp)
![Marketingowa Kawka: internetowe dramaty dnia codziennego [2009-06-28]](https://www.czq.pl/CDN/wp_images/142.webp)
![Marketingowa CZQawka: algorytmy w trybie obserwacji [2009-06-29]](https://www.czq.pl/CDN/wp_images/157.webp)
![Marketingowa CZQawka: algorytmy w nastroju eksperymentalnym [2009-06-30]](https://www.czq.pl/CDN/wp_images/199.webp)
![Marketingowy Przegląd: algorytmy w trybie obserwacji [2009-07-01]](https://www.czq.pl/CDN/wp_images/98.webp)