URL Parameter erraten

Es gibt noch immer Seiten, auf denen man durch Raten fremde Bestellungen einsehen kann. Session IDs gibt es in PHP seit Version 4, veröffentlicht Mai 2000.

Dallas-based Web developer Brandon Sheehy discovered that slightly modifying the link in the confirmation email he received and pasting that into a Web browser revealed another customer’s order, including their name, billing address, shipping address, phone number, email address, items and total amount purchased, delivery date, tracking link, and the last four digits of the customer’s credit card number.

Jared, Kay Jewelers Parent Fixes Data Leak

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.