# Authentication Lab3 這題是網站的「忘記密碼」流程設計不當,你可以不用合法的 token,就幫別人重設密碼。 一樣先進入網站,體驗一次忘記密碼的流程。   登入時會有 email,這裡先記 email,等等忘記密碼時需要用到,複製好後登出,並進入忘記密碼頁面。     這裡他會有一個連結讓我們重設密碼,進去隨便設定。  之後我們在 HTTP History 中去尋找剛剛忘記密碼的封包。  利用剛剛的 token 去改另一位使用者的密碼。  確定 302 跳轉後再次登入帳號。   ---
×
Sign in
Email
Password
Forgot password
or
By clicking below, you agree to our
terms of service
.
Sign in via Facebook
Sign in via Twitter
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Wallet (
)
Connect another wallet
New to HackMD?
Sign up