Aktuelle Nachrichten & Meldungen

l+f: Namens-Check von meinecoke.de ausgehebelt

Gepostet am Mai 12, 2015

Benutzereingaben explizit auf erlaube Werte zu überprüfen, sogenanntes Whitelisting, ist eigentlich eine gute Idee, aber …

lost+found: Was von der Woche übrig blieb Coca Cola wollte auf Nummer sicher gehen und lässt für seinen Service meinecoke.de nur ausgewählte Namen zu, um den Spruch „Trink ’ne Coke mit …“ auf Flaschen zu ergänzen.

Dummerweise haben sie diesen Check nicht auf dem Server sondern nur dem Client implementiert, was zur Folge hatte, dass ein Hacker mit einem manipulierten POST-Request ganz einfach das Wort Pepsi auf das Cola-Etikett der Flasche schmuggeln konnte.

Coca Cola habe bereits reagiert und dem Hacker zufolge ist die Manipulation nicht mehr möglich.

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security

(des)

Klicken hier gehen Sie hier

passend zum Thema