Ich hatte vor ner Weile den Fall, dass ich eine API eines Onlineshops abfragen wollte für nen Alert, wenn ein bestimmter Preis unterschritten wird - also einfach ein GET auf den Endpoint, den auch das JS der Seite nutzt um die Artikel zu laden.

Ich hab im Script versehentlich statt https://example.com/product/$productID dann https://example.com/product/$productName aufgerufen - und der Produktname hatte bei meinen Tests zufällig ' im Namen. Aufgrund der resultierenden Fehlermeldung zum Syntaxfehler des SQL war klar, dass hier direkt ne SQL-Injection vorliegt.

Das war genau zu der Zeit als der Fall hier in den Medien war. Ich hab halt die Klappe gehalten und es ignoriert - zwei Monate vorher hätte ich vielleicht ne freundliche Mail geschrieben, aber zu der Zeit (und auch heute)? Egal. Wenn überhaupt - vorallem bei einer besonders leicht auffälligen Lücke wie hier - würde ich vielleicht der c’t oder jemandem beim CCC den Tipp geben, dass man bei dieser URL ja bloß nix anderes als nen int als ID verwenden sollte…