Bobby: Webseiten mit SQL-Injection-Lücke -> Vorgehen

Moin

Ich wusste nicht recht wie ich den Titel wählen sollte. Wie sollte man Eurer Meinung nach vorgehen wenn man Seiten entdeckt die eine massives SQL-Injection-Lücke aufweisen.

Sollte man den Betreiber darauf hinweisen?

Über Eure Meinungen wäre ich sehr dankbar.

Gruß Bobby

--
-> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <-
### Henry L. Mencken ###
-> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <-
## Viktor Frankl ###
ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
  1. Sollte man den Betreiber darauf hinweisen?

    Ich würde den, der im Impressum genannt ist, darauf hinweisen.

  2. Grüße,

    Sollte man den Betreiber darauf hinweisen?

    wenn der lustig ist, verklagt der dich aber - denn du könntest ja durch "learning by doing" drauf gekommen sein.

    MFG
    bleicher

    --
    __________________________-

    FirefoxMyth
    1. Mahlzeit bleicher,

      Sollte man den Betreiber darauf hinweisen?
      wenn der lustig ist, verklagt der dich aber - denn du könntest ja durch "learning by doing" drauf gekommen sein.

      Ja und? Dann verklagt er einen halt ... die Klage muss ersteinmal von einem Gericht angenommen werden und sollte das der Fall sein, sollte der Seitenbetreiber natürlich ausreichend Beweise vorlegen können, die seine Klage untermauern. Und wie soll er die haben, wenn man selbst nichts gemacht hat?

      MfG,
      EKKi

      --
      sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|
      1. Grüße,

        Ja und? Dann verklagt er einen halt ... die Klage muss ersteinmal von einem Gericht angenommen werden und sollte das der Fall sein, sollte der Seitenbetreiber natürlich ausreichend Beweise vorlegen können, die seine Klage untermauern. Und wie soll er die haben, wenn man selbst nichts gemacht hat?

        siehe oben - der hatte zugriff zum adminbereich - da ist die zugriffsip und seite sicher im log des servers.
        MFG
        bleicher

        --
        __________________________-

        FirefoxMyth
        1. Moin

          siehe oben - der hatte zugriff zum adminbereich - da ist die zugriffsip und seite sicher im log des servers.

          So. Betreiber ist informiert, und er ist heilfroh, das ich ihn drauf hingewiesen habe. :D

          Gruß Bobby

          --
          -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <-
          ### Henry L. Mencken ###
          -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <-
          ## Viktor Frankl ###
          ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
          1. Grüße,

            So. Betreiber ist informiert, und er ist heilfroh, das ich ihn drauf hingewiesen habe. :D

            ich sollte wohl weniger Nachrichten kuken - das macht mich wohl zum Paranoiker.. noch mehr.
            MFG
            bleicher

            --
            __________________________-

            FirefoxMyth
          2. Hi Bobby,

            So. Betreiber ist informiert, und er ist heilfroh, das ich ihn drauf hingewiesen habe. :D

            Sich direkt an den Betreiber wenden kann auch ganz böse nach hinten losgehen, wie die Vergangenheit uns bereits gelehrt hat. Wie man als Hacker am Leben bleibt, erfährst du vom CCC.

            MfG
            Otto

            1. Moin

              Sich direkt an den Betreiber wenden kann auch ganz böse nach hinten losgehen, wie die Vergangenheit uns bereits gelehrt hat. Wie man als Hacker am Leben bleibt, erfährst du vom CCC.

              1. Ich bin mit Sicherheit kein Hacker
              2. Ich veröffentliche keine Lücken
              3. Ich verändere keine Daten
              4. Ein Sicherheitscheck gehört bei meiner Arbeit routinemäßig dazu

              Gruß Bobby

              --
              -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <-
              ### Henry L. Mencken ###
              -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <-
              ## Viktor Frankl ###
              ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
              1. Hi,

                1. Ich bin mit Sicherheit kein Hacker
                2. Ich veröffentliche keine Lücken
                3. Ich verändere keine Daten
                4. Ein Sicherheitscheck gehört bei meiner Arbeit routinemäßig dazu

                Leider gibt es ein paar Idioten, denen das egal ist.
                Der Überbringer der Nachricht kriegt da oft stellvertretend für den wahren Schuldigen (und wegen derrer eigener Inkompetenz als Betreiber, die denen dann vor Augen geführt wird) den ganzen Haß ab.

                Ciao,
                  Wolfgang

              2. Hi Bobby,

                1. Ich verändere keine Daten

                Du hast aber zugriff drauf gehabt und wie kann der Betreiber ausschließen das du diese Daten nicht kopiert hast und später zu deren Nachteil verwendetest?

                1. Ein Sicherheitscheck gehört bei meiner Arbeit routinemäßig dazu

                Hast du das nun auf der Seite zufällig gefunden? So ließt sich dein Ausgangsposting. Oder wurdest du vom Betreiber aufgefordert seine Homepage auf Sicherheitsprobleme zu untersuchen? Dann verstehe ich die Frage nicht.

                MfG
                Otto

    2. Moin

      wenn der lustig ist, verklagt der dich aber - denn du könntest ja durch "learning by doing" drauf gekommen sein.

      Also ich hab schon genügend Wissen, um zu wissen was ich tue. Ich habe nichts verändert oder ähnliches. Ich hatte eben nur Zugriff aufs Adminpanel. Nicht mehr und nicht weniger.

      Gruß Bobby

      --
      -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <-
      ### Henry L. Mencken ###
      -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <-
      ## Viktor Frankl ###
      ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
      1. Hallo,

        Also ich hab schon genügend Wissen, um zu wissen was ich tue. Ich habe nichts verändert oder ähnliches. Ich hatte eben nur Zugriff aufs Adminpanel. Nicht mehr und nicht weniger.

        Du hast also SQL-Injection ausprobiert und dir so Zugriff verschafft. Das ist meines Wissens nicht legal. Aber wenn du vorsichtig z.B. über anonymous Proxies vorgehst, kann dir wahrscheinlich niemand etwas nachweisen.

        In diesem Fall würde ich den Betreiber darauf hinweisen, dass er "wahrscheinlich" ein Sicherheitsproblem hat, und sein Einverständnis dafür holen, dass ich mal versuche, Zugriff zu bekommen. Im Erfolgsfall soll er etwas dafür bezahlen, dass ich ihm die gefundene Lücke schließe bzw. mitteile, wie er sie selber schließen kann. Das wäre eine klare Win-Win-Situation :)

        Gruß, Don P