Vor einiger Zeit hab ich www.deezer.com entdeckt und mir meine Musik gratis angehört und mich gefreut. Letztens war ich es leid, immer nur Treffer zu meinen Suchbegriff anhören zu können, also registrierte ich mich dort. Dabei ist mir folgendes aufgefallen:
Man kann eine falsche eMailadresse eingeben … es findet keine Überprüfung statt, ob die Eingabe ein „@“ – Zeichen und einen „.“ beinhaltet. Also hab ich zum Testen einfach mal „sicherheitsbug“ eingetragen.
Danach auf OK geklickt und man bekommt die Bestätigung, dass man nun registriert sei.
Statt nun zu meinem (eh nicht vorhandenen) eMailaccount zu gehen, hab ich hinter die Adresse www.deezer.com noch „/confirm.php?email=sicherheitsbug“ eingegeben und abgeschickt …
Und schon war ich registriert mit diesem Account ohne eine eMail anzugeben.
Gut, man kann mit einem bestätigten, registrierten Account auch nicht mehr machen als mit einem nicht bestätigten, registrierten … Find jedoch lustig, dass das so einfach geht … dank an die GET – Variable 😛
Das ganze als Bildgeschichte:
Lol…wirst ja noch zum Testhacker für Hp’s…
Auf jeden fall lustisch auf wat für Ideen du imma kommst:-)
Schreib doch ma der Deezer-Crew das sie noch a wäng an der HP zu arbeiten haben.
h4ckz0r! 🙂
Da sieht man doch mal wieder, wie schön ein schlecht gesichertes Script sein kann… 🙂