this post was submitted on 18 May 2025
21 points (95.7% liked)

EDV-Sicherheit

325 readers
1 users here now

EDV-Sicherheit ist IT Security auf Deutsch. Posts können in Deutsch und Englisch erstellt werden.

Wikipedia: "Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. "

Verwandte Communities:

Netiquette wird vorausgesetzt. Gepflegt wird ein respektvoller Umgang - ohne Hass, Hetze, Diskriminierung.

Bitte beachtet die Regeln von Feddit.org.

Attribution

  • Das Banner zeigt ein von marv99 mit Image Creator erzeugtes Bild zum Prompt "How could a security issue look like as a picture?"

  • Das Icon zeigt ein von marv99 mit Le Chat erzeugtes Bild eines Vorhängeschlosses.

founded 1 year ago
MODERATORS
marv99@feddit.org
cron@feddit.org
21
Unerwünschte Zivilcourage bei Hackern? (www.tagesschau.de)
submitted 7 months ago by schnurrito@discuss.tchncs.de to c/edv_sicherheit@feddit.org
4 comments fedilink hide all child comments
you are viewing a single comment's thread
view the rest of the comments
[–] elvith@feddit.org 3 points 7 months ago

Ich hatte vor ner Weile den Fall, dass ich eine API eines Onlineshops abfragen wollte für nen Alert, wenn ein bestimmter Preis unterschritten wird - also einfach ein GET auf den Endpoint, den auch das JS der Seite nutzt um die Artikel zu laden.

Ich hab im Script versehentlich statt https://example.com/product/$productID dann https://example.com/product/$productName aufgerufen - und der Produktname hatte bei meinen Tests zufällig ' im Namen. Aufgrund der resultierenden Fehlermeldung zum Syntaxfehler des SQL war klar, dass hier direkt ne SQL-Injection vorliegt.

Das war genau zu der Zeit als der Fall hier in den Medien war. Ich hab halt die Klappe gehalten und es ignoriert - zwei Monate vorher hätte ich vielleicht ne freundliche Mail geschrieben, aber zu der Zeit (und auch heute)? Egal. Wenn überhaupt - vorallem bei einer besonders leicht auffälligen Lücke wie hier - würde ich vielleicht der c't oder jemandem beim CCC den Tipp geben, dass man bei dieser URL ja bloß nix anderes als nen int als ID verwenden sollte…