Sto litigando con il "Security Expert" della mia squadra su questa domanda di base e ho bisogno di aiuto per ottenere un valido argomento / i valido / i.
Il pretesto è il seguente: Dovrebbe essere possibile / valido cercare di indovinare / password brute-force per ogni utente conosciuto dell'applicazione, utilizzando il link "Cambia password" per un singolo utente ??
Gli ho fatto questa semplice domanda: Otteniamo un link a "Cambia password" per ogni account quando qualcuno chiede la modifica della password e sembra che utilizzando il link "Cambia password" puoi provare a indovinare la password di ogni utente dell'applicazione. È valido per una funzionalità di 'Cambia password' ?? Ha detto: "Sì, va bene"
Quindi, in pratica quando qualcuno chiede l'opzione "Cambia password" dal nostro software, riceve un link. Ora sembra che usando quel collegamento è possibile provare a fare richieste di forza bruta per "Cambia password" per Tutti gli utenti dell'applicazione. Il punto di My Security Expert è lo stesso è anche possibile dalla "Pagina di accesso" principale in quanto anche lì si può provare a forzare la modifica della password per ogni utente, quindi è ignaro (contro qualsiasi necessità di modifiche !!) al "Cambia "Password" contro questo problema. La stessa logica di rilevamento forza bruta è posizionata sotto sia la pagina "Cambia password" sia la pagina "Login Portal".
Aiuta l'aiuto !!