auf der Seite "Einstellungen" des Kunden-Webinterfaces werden bei Bedarf Meldungen als Teil der URL eingeblendet.
Zum Beispiel bei Passwortänderung:
Code: Select all
https://domain.tld/customer.pl?Action=CustomerPreferences;Priority=Error;Message=Das%20eingegebene%20Passwort%20ist%20nicht%20korrekt.%20Bitte%20versuchen%20Sie%20es%20erneut!
Weil dies nur URL-Parameter sind, besteht die Möglichkeit willkürliche Fehlermeldungen anzeigen zu lassen.
So könnte man bspw. einen präparierten Link verteilen, der Benutzer absichtlich in die Irre führt:
Code: Select all
https://domain.tld/customer.pl?Action=CustomerPreferences;Priority=Error;Message=ACHTUNG:%20Dieser%20Account%20wird%20deaktiviert.%20Wenn%20dieser%20Account%20nicht%20gel%C3%B6scht%20werden%20soll,%20schreiben%20Sie%20bitte%20eine%20E-Mail%20mit%20ihrem%20Benutzernamen%20und%20Ihrem%20Kennwort%20an%20support@evil.tld
Meine Frage lautet nun, ob man dieses Verhalten ohne zu viel Aufwand unterbinden kann.
Als Paradebeispiel sehe ich da die Login-Seite. Dort wird ebenfalls ein Hinweis eingeblendet wenn Benutzername oder Passwort falsch eingegeben wurden.
Dieser Text wird allerdings nicht als URL-Parameter übergeben und kann daher nicht so einfach manipuliert werden.
Danke für jeglichen Input
Viele Grüße