Hi

Das bislang spannendste (auch weil ich direkte Live-Interaktion vom programmierenden Admin kriegte) war ein HTML-Formular (verkürzt dargestellt), welches man in einem Intranet aufrufen konnte, um sein eigenes Login-Passwort zu ändern:

<input type="hidden" name="user" value="23">
<input type="password" name="password1">
<input type="password" name="password2">
<!-- und weitere Textfelder für Name, Adresse, Telefon etc. -->

>   
> Einen Sessionmechanismus existierte nicht.  
  
Ich sags gleich mal im Voraus: heut ist Freitag der 13. und ich mach heut eh schon den ganzen Tag alles falsch, also kanns sein, dass ich heute einfach zu doof bin da die Sicherheitslücke zu sehen, aber ich frag trotzdem mal: wo ist da die Sicherheitslücke?  
  
Gruß  
Carl