Linus Neumann

Ja, ich will aber erst kurz noch ein bisschen kurz diesen Fall einordnen.

Wie wird so ein Chatbot gebaut?

Die Architektur.

Warum?

Du hast gesagt, da gab es eine API und dann gab es eine SQL-Injection.

Das war, also was du da gesehen hast, ist im Prinzip eine Web-App.

Also eine Web-Applikation, wie du sie schreibst, die APIs bereitstellt, die ein Front-Interface hat für die Userin, wo dann irgendwie drin steht, hier kannst du was hintippen und wenn ich Enter drücke, dann wird das an die API geschickt.

Und diese, also ein Mapping zwischen, die API hat 200 Endpunkte, das heißt in dem Fall 200 unterschiedliche Arten, wie man mit ihr interagieren kann.

Das eine ist zum Beispiel, ich bin ein neuer Nutzer und ich möchte mich anmelden oder hier ist mein Passwort und ich bin jetzt angemeldet.

All das ist immer ein API Endpunkt, also eine Art, wie man da hinschreiben kann.

Und dann ist natürlich auch so, ich habe eine authentifizierte Session und zwar in dem Chat 3 möchte ich jetzt folgende Nachricht schicken.

Das ist alles immer ein Endpunkt.

Ich möchte ein Setting ändern, das ist auch ein Endpunkt.

Da kannst du wahrscheinlich dann mehrere Settings angeben oder so.

So ist eine API konfiguriert oder strukturiert.

Und jetzt ...

Gibt es natürlich an so einer API, das war das, was du gerade sagtest, 22 waren unauthenticated, obwohl sie es sein mussten.

Das heißt, du konntest etwas tun, wozu du eigentlich in irgendeiner Weise eine Authentifizierung gebraucht hättest.

Angemeldete Nutzerin sein oder vielleicht sogar angemeldete Administratorin sein oder so.

Habe ich jetzt eine Session als User, habe ich eine Session am Backend als Admin?