URL-Manipulation
mögliche Angriffsschnittstelle durch Parameter:
Bei der Kartenübersicht ist es möglich die Anzahl der gezeigten Karten zu ändern (maximal 32). Über den URL Parameter max=[int] ist allerdings eine höhere maximalanzahl anzeigbar, wenn der parameter manipuliert wird. Besser ist an dieser stelle eine white-list auf der server-seite um solche parameter zu verbieten. Auch ist es sinnvoll solche parameter per POST zu übertragen und nicht per GET.
Hallo Sebastian
Danke für den Hinweis. Die Möglichkeit zur Auswahl der Anzahl Karteien ist ein Feature, nicht ein Bug. Alle Parameter werden auf Serverseite geprüft.
Gruess
Urs von card2brain