PGM, eine Art „Ich mach dir Kunstdruck via Digitalrepro“-Kette scheinen wohl nicht viel Geld für Ihre Internet-Seite übrig gehabt zu haben, oder wohl hat sich ein dilettantischer Mitarbeiter um die Website gekümmert.

Guckt man in den Quellcode, findet man nette SQL-Queries versteckt in HTML-Input Elementen, die direkt ohne Umwege auf dem Server ausgeführt werden. Eventuell macht ja mal jemand ein „DROP PROCEDURE PGM_TopNeuheitenFirma_int3“  und legt damit deren komplette Datenbank lahm.

Folgendes POST sollte wohl Beweis genug sein:

‘SQL’ => "EXEC TutMalWasFuerEureSecurity",
‘SEARCH’ => "",
‘nextbutton’ => 0,
‘nextpage’ => 1,
‘english’ => "english"

Die Typen haben jedenfalls wiederholt auf meine E-Mails nicht reagiert (wohl auch nicht gelesen oder keine Empfangsbestätigung gesendet?!) , weswegen ich jetzt alles veröffentliche. Vielleicht setzt man ja deshalb auf Microsoft Produkte, wie z.B. das unverlässige Outlook, oder MS SQL Server. Nichtmal meine schöne „TutMalWasFuerEureSecurity“ haben sie gelöscht!