Zitat von Wosi:

@Mavarik
Nach 20 Minuten herumspielen bin ich in der Lage, einen bestehenden Account zu kapern und in dessen Namen Bestellungen aufzugeben. Das habe ich natürlich nicht getan. Allerdings solltest du deine IT-Infrastruktur noch mal auf Sicherheit überprüfen. Generell habe ich Zugriff auf alle Kundendaten.

Außerdem enthält das Datum auf der generierten Rechnung ein komisches Datum (07.54.2017).

Zitat von mensch72:

Ein öffentliches REST Interface ohne besondere Sessionkey basierte Verschlüsselung zur Replaysicherheit lädt ja förmlich dazu ein, sich mal genauer das Programm und den Netzwerkdatenverkehr anzuschaun.

Und es gibt viele Zacherl "mit etwas Erfahrung" im Reverse-Engineering Bereich

Ich sage hier jetzt nur mal noch die Stichworte "Stringkonstanten" und "SharedSource", wo scheinbar für die EndUser Anwendung teils die gleichen Units wie für das eigene AdminTool verwendet und so bei Delphi voll mit eingelinkt werden... so kommt man ohne viel Aufwand nur mit dem File der ClientAnwendung und etwas Phantasie an die "Commmand&Control" Logik der Administration.