Użytkownik "Radosław Popławski" <r...@a...net.pl> napisał w wiadomości
news:tdqr305ljpea10icq3ma2j6grjpkgj91qf@4ax.com...
Thu, 26 Feb 2004 12:30:25 +0100, w <c1klo4$mpd$1@nemesis.news.tpi.pl>,
"Redtown" <R...@k...pl> napisał(-a):

>> Osoby posiadające konto w mBanku mogą bez problemu poprzez
odpowiednią
>> manipulację zmiennych poszerzyć swoje prawa użytkownika, co daje dostęp
do
>> niedostępnych z założenia sekcji panelu, takich jak zmiana limitów dla
kart
>> kredytowych, transakcji bezgotówkowych itp.
>>
>> Problem polega w głównej mierze w samej metodzie przesyłania
>> informacji poprzez formularze gdzie wysyłana jest duża ilość informacji
>> m.in.: każdorazowo imię, nazwisko, numer karty.

> Od kiedy zainstalowałem Operę i widzę co znajduje się w każdym URL-u
strony,
> zauważyłem, że fajnie można sobie "spersonalizować" mbank :)).

> Coś tak czułem, że z tego coś wyniknie, bo trudno przy tak zaprojektowanym
> systemie utrzymać bezpieczeństwo na rozsądnym poziomie :] Wszystko powinno
być
> robione w sesjach, a przekazywanie zmiennych za pomocą URL to raczej
nadaje się
> do amatorskich zastosowań...

Glenn, do dzieła! Daj odpór! ;>

Pzdr,
BaLab