情報システムサーバ検証ロジックの抜け穴の一部。攻撃者は、パケット内の特定のパラメータを削除するか、または正常にパスワードをリセットし、直接他の人への選択ステップバックや認証、パスワードのリセットインターフェイスをスキップするメールアドレスの方法を変更することができます。
15.6.1パラメータを削除すると、検証ステップをバイパス:図15-35に示すように、メールシステムは、パスワード秘密の質問を検索することができます。
ステップ2:まず、答えのランダムなパスワードを入力し、[次のステップ、Etherealの質問フィールド全体にお答えします
削除提出し、15-36に示します。
ステップ3:図15-37に示すように起因するサーバーの検証ロジックに欠陥の存在、質問への答えは、検証のパスワードを介して直接取得できない場合は、正常にリセット。
