ommt der Neukunde dann wieder zu den Seiten der Paysite und wird dort entsprechend weiterbehandelt. In der Regel wird er nach erfolgreicher Zahlung zu einem Formular geschickt, mit dem die Login-Daten erzeugt werden. Das Neumitglied kann einen Usernamen und ein Passwort whlen und erhlt nach wahl derer sofortigen Zugang. Das Formular fgt die Daten automatisch in die Passwort-Datei ein. Hier liegt jedoch ein oft gemachter Fehler: Geht man nach Erzeugung eines Usemame/Passwort-Paares einfach mittels des "Back"-Buttons des Browsers zurck zum Formular, so kann man auf einfache und legale Weise ein weiteres Username/Passwort-Paar erzeugen und das immer wieder. Als Webmaster sollte man folgende zwei Schutzmechanismen einsetzen: Das Kreditkarten-Unternehmen sollte nach erfolgreicher Prfung einen einmaligen PIN-Code bermitteln, den man dann aus der liste der noch gltigen PIN-Codes streicht und so das Formular zur Username/Passwort-Erzeugung bei jeder Zahlung nur genau EINMAL eingesetzt werden kann. Dieses Verfahren wird von den meisten Kreditkarten-Unternehmen auch als "One-Time PIN- Hardcoding" bezeichnet. Das Script, da die Usemamen/Passwrter erzeugt, sollte auch mittels der HTTP-REFERRF-R-Servervariablen berprfen, ob der User auch vom Kreditkartenuntemehmen kommt. Sonst kann ein gewiefter Hacker ein Script schreiben, das von seinem Rechner aus einfach solange verschiedene PIN-Nurninern ausprobiert, bis es eine noch gltige findet. Sind die PIN z.B. siebenstellig, so dauert es im statistischen Mittel nur 5000 Sekunden, bis man eine gltige PIN findet, wenn das Scriptjede Sekunde eine PIN testct. Bei einer schnellen lnternelverbindung sind jedoch auch mehrere Tests pro Sekunde mglich! Bilder nicht in geschtzten Verzeichnissen Dieser Fehler ist einer der hufigsten, da er leicht bersehen wird: Wie bereits erwhnt, sind mittels des HTACCESS-Schutzes immer das jeweilige Verzeichnis und alle Unterverzeichnisse geschtzt. Befinden sich die Bilder der Mi...
