je to pandořina skříňka, nepotřebuji mít přístup k službě, na kterou útočím, stačí jí donutit zalogovat můj string. To otevírá netušené možnosti, aplikace rádi ověřují vstup (logicky) a rádi chybný vstup logují, občas se loguje i ten správný vstup (např. u SAPu jsem teď ověřil, že to stačí jen zadat jako přihlašovací jméno).
Tohle možná zatřese poměrně dost java světem. Člověk by řekl, že u opensource stačil překompilovat, teď ale vidím kolik projektů na githubu není možné kompilovat ve starší verzi kvůli chybějícím balíčkům ve veřejným repositářích. Migrace na novější verzi zase nelze udělat obratem. Málokdo má např. cachující nexusu, aby měl lokální kopie.