l+f: Namens-Check von meinecoke.de ausgehebelt
Benutzereingaben explizit auf erlaube Werte zu überprüfen, sogenanntes Whitelisting, ist eigentlich eine gute Idee, aber ...
Coca Cola wollte auf Nummer sicher gehen und lässt für seinen Service meinecoke.de nur ausgewählte Namen zu, um den Spruch "Trink 'ne Coke mit ..." auf Flaschen zu ergänzen.
Dummerweise haben sie diesen Check nicht auf dem Server sondern nur dem Client implementiert, was zur Folge hatte, dass ein Hacker mit einem manipulierten POST-Request ganz einfach das Wort Pepsi auf das Cola-Etikett der Flasche schmuggeln konnte.
Coca Cola habe bereits reagiert und dem Hacker zufolge ist die Manipulation nicht mehr möglich.
lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
(des)
