Pepsi-Fan hackt Coca Cola:

[Xenio]

User-Hack lässt Coca Cola für Rivalen werben

Coca Cola bietet seit längerem die Möglichkeit, die eigenen Getränkeflaschen online mit Namen zu personalisieren. Trotz einer Blacklist, die bestimmte Namen und Begriffe verbietet, ist es einer pfiffigen Person nun gelungen, diese Sperrliste zu umgehen. Das Ergebnis dürfte dem Getränke-Hersteller gar nicht schmecken - die Flasche ziert den Schriftzug "Trink 'ne Coke mit Pepsi".

Blacklist nur ein Mal überprüft

Die Webseite gleicht den eingegebenen Namen mit dem Namensregister ab und prüft so, ob die Eingabe zulässig ist - jedoch nur im ersten Schritt. Wer sich mit Browsern auskennt und die Fähigkeit besitzt, Quellcodes auszulesen, kann die Eingabe in den Folgeschritten nachträglich zu seinen Wünschen ändern, ohne dass die Webseite dies erkennt. Aus dieser Manipulation heraus machte Coca Cola in diesem Fallbespiel unfreiwillig Werbung für den großen Rivalen. (kb)

Quelle: http://www.chip.de/news/Pepsi-Fan-ha..._79336826.html

Hier noch ein Beispielvideo:
https://www.youtube.com/watch?v=TvTMYIihJao

[Cystasy]

Daran sieht man mal wieder deutlich wie schlampig Heutzutage Webanwendungen entwickelt werden^^
Sowas zu manipulieren nachträglich ist das einfachste was ich mir vorstellen kann (brauch nur nen Browser, keine Plugins / Addons) .. sowas sollte man finde ich am ENDE(!) prüfen, nicht am Anfang.
So kann man das ganze nicht mehr so leicht nachträglich manipulieren & man muss nur noch auf Dinge wie Injections etc. achten.

Wobei ich sagen muss das ich beim lesen der Überschrift zunächst an etwas wie ne SQLi oder XSS in z.b nem Getränke-Automaten dachte :c.. wäre epic gewesen^^

grüße

[Starflow]

Daran sieht man mal wieder deutlich wie schlampig Heutzutage Webanwendungen entwickelt werden^^
Sowas zu manipulieren nachträglich ist das einfachste was ich mir vorstellen kann (brauch nur nen Browser, keine Plugins / Addons) .. sowas sollte man finde ich am ENDE(!) prüfen, nicht am Anfang.
So kann man das ganze nicht mehr so leicht nachträglich manipulieren & man muss nur noch auf Dinge wie Injections etc. achten.

1. Validations immer im Backend! Validations im Frontend sind für die UX ok, sollten aber immer im Backend verifiziert werden.

2. Tut mir echt leid, dass ich das so sagen muss, aber aufgrund dessen was ich bisher von dir gesehen hab*, solltest du die Schnauze nicht so weit aufreissen.
Es spricht nichts dagegen ein Anfänger zu sein, aber ein bisschen JavaScript Grundwissen und das wissen um die DevTools machen einen nicht gleich zum Pro.

*Ein halbgares "Tutorial" darüber wie man Javascript Variablen überschreibt und nen ziemlich crappy zusammengehackten Pfandflaschenbot.

Wobei ich sagen muss das ich beim lesen der Überschrift zunächst an etwas wie ne SQLi oder XSS in z.b nem Getränke-Automaten dachte :c.. wäre epic gewesen^^

Ich hab zwar noch keinen Getränkeautomaten mit nem Webinterface oder ner SQL-DB gesehen, aber ok.

[Cystasy]

2. Tut mir echt leid, dass ich das so sagen muss, aber aufgrund dessen was ich bisher von dir gesehen hab*, solltest du die Schnauze nicht so weit aufreissen.
Es spricht nichts dagegen ein Anfänger zu sein, aber ein bisschen JavaScript Grundwissen und das wissen um die DevTools machen einen nicht gleich zum Pro.

*Ein halbgares "Tutorial" darüber wie man Javascript Variablen überschreibt und nen ziemlich crappy zusammengehackten Pfandflaschenbot.

Falls du einen besseren Vorschlag als nen "crappy zusammengehackten" Pennergame Bot hast, dann lass hören.
Ich beschäftige mich zu 90% meiner Zeit mit Javascript und Webanwendungen, ich zähle mich hier nicht mehr zu den Anfängern.
Wenn ich sehe was manche da für einen Unsicheren JS Code für Wichtige Webanwendungen schreiben wird mir übel.

Und schick mir bitte gerne per PM auch Verbesserungsvorschläge was denn nun so "crappy" in deinen Augen ist - würde gerne hören was du da zu sagen hast damit ich mich verbessern kann. Ich sage nicht das ich Profi bin oder nichts neues lernen kann, aber Anfänger bin ich definitiv nicht mehr.
Aber wenn, dann bitte nur Konstruktive Kritik, sonst nützt mir das nichts.

Das was ich bisher hier im Forum gepostet habe ist nicht wirklich viel, aber ich versuche immerhin etwas zur Community beizutragen.
Wenn du möchtest kann ich gerne auch Komplexere Dinge ( http://i.imgur.com/L1rOYu3.png ) posten, das wäre dann aber nichts für Anfänger / Neulinge in JS.. und gerade das war Sinn meiner Aktion (HowTo usw). Von daher..

Ich hab zwar noch keinen Getränkeautomaten mit nem Webinterface oder ner SQL-DB gesehen, aber ok.

Es gibt einige Geldautomaten die Beispielweise Windows als Betriebsystem besitzen, und dort werden auch ab und zu dann Datenbanken benutzt die man manipulieren kann.
Ich weiß nicht welches Betriebsystem nun Getränkeautomaten haben, aber ich schließe nicht aus das auch diese auf Windows laufen + SQL Datenbanken haben.
Geldautomaten hatten zumindestens schon Cross Side Scripting Lücken, Registry Lücken & co. - daher schließe ich das bei Getränkeautomaten nicht aus.

p.s: Das die Checks aufm Server ablaufen sollen und nicht auf der Clientside sollte eigendlich klar sein, das hatte ich nicht angesprochen weil es eigendlich selbstverständlich sein sollte finde ich. Oder nicht? Habe ich bereits in meinem "halbgaren" Tutorial beschrieben.

[n00kie]

Ich glaube es hängt auch ganz davon ab, aus welchem Jahrhundert der Automat stammt, bzw. was man ein Modell vor sich hat.

[Notorious]

In unserer U-Bahn wird der Monitor, welche die Ankunftszeiten anzeigt mit Teamviewer betrieben . Es gab mal ein Fehler und man konnte die ID sehen, ich weiß aber nicht ob man das Passwort per Brute Force bekommen kann.

[Starflow]

Falls du einen besseren Vorschlag als nen "crappy zusammengehackten" Pennergame Bot hast, dann lass hören.

Ja, einen gut geschriebenen Pennergame Bot. Mit sauberem, verständlichen Code.

Und schick mir bitte gerne per PM auch Verbesserungsvorschläge was denn nun so "crappy" in deinen Augen ist - würde gerne hören was du da zu sagen hast damit ich mich verbessern kann. Ich sage nicht das ich Profi bin oder nichts neues lernen kann, aber Anfänger bin ich definitiv nicht mehr.
Aber wenn, dann bitte nur Konstruktive Kritik, sonst nützt mir das nichts.

Kein Problem, kommt heute noch im entsprechenden Thread, denn deine JS Skills sind nicht Thema hier. Wollte dich nur dezent darauf hinweisen, dass auch du nicht die Krone der Schöpfung bist.

[...] ich versuche immerhin etwas zur Community beizutragen.

Deswegen hab ich mich bisher zurück gehalten.

Wenn du möchtest kann ich gerne auch Komplexere Dinge ( http://i.imgur.com/L1rOYu3.png ) posten, das wäre dann aber nichts für Anfänger / Neulinge in JS.. und gerade das war Sinn meiner Aktion (HowTo usw). Von daher..

Naja besonders Komplex ist das nicht, wenn man es richtig geschrieben hätte, könnte man es sogar beim überfliegen parsen.
Bekommst du auch noch nen Kommentar zu.
(Das du mich für zu dumm zum googlen hältst, beleidigt mich ein wenig)

EDIT: LoL, jetzt hat er meinetwegen das Script aus seiner Dropbox gelöscht und seinen Username auf Reddit geändert
Aber keine Angst, ich hab schon nen Backup

Es gibt einige Geldautomaten die Beispielweise Windows als Betriebsystem besitzen, und dort werden auch ab und zu dann Datenbanken benutzt die man manipulieren kann.
Ich weiß nicht welches Betriebsystem nun Getränkeautomaten haben, aber ich schließe nicht aus das auch diese auf Windows laufen + SQL Datenbanken haben.
Geldautomaten hatten zumindestens schon Cross Side Scripting Lücken, Registry Lücken & co. - daher schließe ich das bei Getränkeautomaten nicht aus.

Ich geb zu, ich bin kein Spezializst für Getränkeautomaten, es mag nicht unmöglich sein, dass es so etwas gibt, aber sicherlich nicht im großen Ausmaß-

p.s: Das die Checks aufm Server ablaufen sollen und nicht auf der Clientside sollte eigendlich klar sein, das hatte ich nicht angesprochen weil es eigendlich selbstverständlich sein sollte finde ich. Oder nicht? Habe ich bereits in meinem "halbgaren" Tutorial beschrieben.

Hätte man die Checks in diesem Fall im Backend gemacht, wäre das nicht passiert, daher meine Annahme.