use Mosche;

http://security.xwolf.de sind (bzw. sollen) alle Sicherheitslücken bei freien Scripten aufgeführt werden.

Hab´s mir angesehen. Da steht ja gleich alles drin, wie ich die Software hacken kann. Find ich nicht so toll. Ich glaube, dass die Hackversuche von solchen Typen kommen, die diese Listen benutzen. Klar anzeigen muss man sie. Aber gleich aufzeigen wie das hacken geht?

Du schreibst leider noch Unsinn, weil du dich damit noch nicht so auskennst.
Was dort beschrieben wird -übrigens ist es in den meisten Fällen nur die deutschsprachige Übersetzung aus dem englischen Orginal aus der Mailingliste BugTRaq, welche ca. 100 mal gemirrort wird (!)- beschreibt in der Tat nur den Fehler und warum es ein Fehler ist.

Dies ist deswegen notwendig, da man ansonsten jede beliebe Software und damit jede Firma diskredieren könnte.
So ähnlich wie bei den Hexenprozessen im Mittelalter braucht man nur noch auf ein Skript zu zeigen, "Yehowa" rufen, und schon gilt es als mies programmiert, unsicher und und und.

Man muss es daher schon belegen können, wenn man sagt es ist unsicher.
Ansonsten ist es nur ein Gerücht.

Ein Hackertool ist es dadurch aber nicht. Was du meinst sind wahrscheinlich Exploids. Dabei handelt es sich um vorgefertigte Programme, die die beschriebenen Fehler im Skript geziehlt ausnutzen um irgendwelche Kommandos zu bezwecken.
Solche Exploids werden oft gebundelt in einer Software. Und die macht dann sowas, was du ganz oben in der Logfile siehst: Ein geziehlter Angriff auf einen ganzen Satz an moeglichen Sicherheitslücken.

Diese Exploids sind wenige Tage nach dem ersten bekanntwerden von Sicherheitslöchern im Netz.
(Die guten Exploids jedoch sind die, die noch unbekannte Fehler ausnutzen.)

Solche Exploids und Sites die diese einfach so an jeden Skriptkiddie verbreiten gibt es massig ins Netz. Das ist das größere Problem an der Sache. Nicht eine zeitverzögerte Veröffentlichung eines -unter richtigen Hackern- längst bekannten Bugs.

Lange Rede, kurzer Sinn: Zum Hacken brauchst du die Info nicht.
Wenn du dich gut in der jweiligen Sprache und der Problematik auskennst, dann brauchst du nur zu lesen "ungeparste Variablen", und schon weisst du alles was du brauchst.

Was PHP- und CGI-Skripten angeht ist es ja auch leider so, dass die allermeisten Bugs *nicht* gemeldet werden.
Ich persönlich schätz, dass 80% *aller* freien Skripten, die man auf Skriptarchiven finden kann, Löcher haben.
Veröffentlicht sind jedoch nur ein winziger Bruchteil an Problemen!

Ein letztes Problem noch, wenn man keine Details angibt:
Die Hersteller und die User glauben einen nicht.
Da kann doch schliesslich jeder ankommen, und irgendeinen Bla faseln.

Siehe aktuelle Diskussion um Handy- und Mobiltelefonsmog.
Jeder Physiker und Biologe kann nachweisen, dass es da EInwirkungen
gibt. Es gibt tausende Artikel und *Indizien*.
Aber genauso wie bei der Klimaerwärmung gibt es dafür keinen Beweis, also *gibt es sowas nicht*.

Eher wird man vorgeladen vor Gericht, weil man durch irgendwelche
Behauptungen die Herstellerfirma im Ruf geschadet haben könnte.

Ciao,
  Wolfgang