Linus Neumann

Also, ist der Nutzer authentifiziert?

Ist der Nutzer autorisiert?

Ergibt sich das aus dem Kontext?

Hat der mir alle Informationen gegeben, die ich erzwingen muss, damit er das jetzt überhaupt darf?

Diese Fehler passieren wirklich am laufenden Band.

Und deswegen ist, sag ich mal, ein Browser mit einer Burp-Suite auch so ein ...

A gift that keeps on giving.

Also ein Tool, was dafür gedacht ist, sehr gezielt in den Traffic zu schauen, in die APN-Punkte, in das, was da geschickt wird.

dann kannst du so, weiß nicht, wenn irgendwas Base64 ist, kannst du direkt sagen, de-encode das mal und vor allem kannst du Requests wiederholt schicken oder da so ein bisschen durchproben.

Ja, ein Tool, was genau solche, es gibt eine API, die ich nicht kenne, ich klimper da jetzt mal durch und ich versuche mal dieses und jenes, ich automatisiere das durch, iteriere das mal und ach, zack, SQL Injection.

Also, dass eine KI das hinbekommt,

Ist erstmal nicht extrem überraschend, weil es sehr alte klassische 90er Jahre Schwachstellen sind, aber in einem eben in einer komplett neuen Web-App.

Also will man jetzt auch nicht schlecht reden und zwei Stunden ist auf jeden Fall auch eine sehr stabile Zeit.

Das ist schon relativ schnell, ja.

Aber wenn man nach dieser Sache gezielt sucht, dann braucht man vielleicht auch nicht viel länger mit einer ganz guten Toolchain und ein bisschen Erfahrung.

Aber trotzdem ist es natürlich spannend, dass das Ding das getan hat.

Oder dass das Ding das geschafft hat.

Der nächste Punkt war natürlich, die AI...

Also das Modell oder die Modelle dahinter hat Zugriff auf alle Daten.

Auch das ist ein Security-Architecture-Paradigmen-Wechsel, der da eigentlich gerade stattfindet.