Webseiten mit SQL-Injection-Lücke -> Vorgehen
Bobby
- meinung
Moin
Ich wusste nicht recht wie ich den Titel wählen sollte. Wie sollte man Eurer Meinung nach vorgehen wenn man Seiten entdeckt die eine massives SQL-Injection-Lücke aufweisen.
Sollte man den Betreiber darauf hinweisen?
Über Eure Meinungen wäre ich sehr dankbar.
Gruß Bobby
Sollte man den Betreiber darauf hinweisen?
Ich würde den, der im Impressum genannt ist, darauf hinweisen.
Grüße,
Sollte man den Betreiber darauf hinweisen?
wenn der lustig ist, verklagt der dich aber - denn du könntest ja durch "learning by doing" drauf gekommen sein.
MFG
bleicher
Mahlzeit bleicher,
Sollte man den Betreiber darauf hinweisen?
wenn der lustig ist, verklagt der dich aber - denn du könntest ja durch "learning by doing" drauf gekommen sein.
Ja und? Dann verklagt er einen halt ... die Klage muss ersteinmal von einem Gericht angenommen werden und sollte das der Fall sein, sollte der Seitenbetreiber natürlich ausreichend Beweise vorlegen können, die seine Klage untermauern. Und wie soll er die haben, wenn man selbst nichts gemacht hat?
MfG,
EKKi
Grüße,
Ja und? Dann verklagt er einen halt ... die Klage muss ersteinmal von einem Gericht angenommen werden und sollte das der Fall sein, sollte der Seitenbetreiber natürlich ausreichend Beweise vorlegen können, die seine Klage untermauern. Und wie soll er die haben, wenn man selbst nichts gemacht hat?
siehe oben - der hatte zugriff zum adminbereich - da ist die zugriffsip und seite sicher im log des servers.
MFG
bleicher
Moin
siehe oben - der hatte zugriff zum adminbereich - da ist die zugriffsip und seite sicher im log des servers.
So. Betreiber ist informiert, und er ist heilfroh, das ich ihn drauf hingewiesen habe. :D
Gruß Bobby
Grüße,
So. Betreiber ist informiert, und er ist heilfroh, das ich ihn drauf hingewiesen habe. :D
ich sollte wohl weniger Nachrichten kuken - das macht mich wohl zum Paranoiker.. noch mehr.
MFG
bleicher
Hi Bobby,
So. Betreiber ist informiert, und er ist heilfroh, das ich ihn drauf hingewiesen habe. :D
Sich direkt an den Betreiber wenden kann auch ganz böse nach hinten losgehen, wie die Vergangenheit uns bereits gelehrt hat. Wie man als Hacker am Leben bleibt, erfährst du vom CCC.
MfG
Otto
Moin
Sich direkt an den Betreiber wenden kann auch ganz böse nach hinten losgehen, wie die Vergangenheit uns bereits gelehrt hat. Wie man als Hacker am Leben bleibt, erfährst du vom CCC.
1. Ich bin mit Sicherheit kein Hacker
2. Ich veröffentliche keine Lücken
3. Ich verändere keine Daten
4. Ein Sicherheitscheck gehört bei meiner Arbeit routinemäßig dazu
Gruß Bobby
Hi,
- Ich bin mit Sicherheit kein Hacker
- Ich veröffentliche keine Lücken
- Ich verändere keine Daten
- Ein Sicherheitscheck gehört bei meiner Arbeit routinemäßig dazu
Leider gibt es ein paar Idioten, denen das egal ist.
Der Überbringer der Nachricht kriegt da oft stellvertretend für den wahren Schuldigen (und wegen derrer eigener Inkompetenz als Betreiber, die denen dann vor Augen geführt wird) den ganzen Haß ab.
Ciao,
Wolfgang
Hi Bobby,
- Ich verändere keine Daten
Du hast aber zugriff drauf gehabt und wie kann der Betreiber ausschließen das du diese Daten nicht kopiert hast und später zu deren Nachteil verwendetest?
- Ein Sicherheitscheck gehört bei meiner Arbeit routinemäßig dazu
Hast du das nun auf der Seite zufällig gefunden? So ließt sich dein Ausgangsposting. Oder wurdest du vom Betreiber aufgefordert seine Homepage auf Sicherheitsprobleme zu untersuchen? Dann verstehe ich die Frage nicht.
MfG
Otto
Moin
wenn der lustig ist, verklagt der dich aber - denn du könntest ja durch "learning by doing" drauf gekommen sein.
Also ich hab schon genügend Wissen, um zu wissen was ich tue. Ich habe nichts verändert oder ähnliches. Ich hatte eben nur Zugriff aufs Adminpanel. Nicht mehr und nicht weniger.
Gruß Bobby
Hallo,
Also ich hab schon genügend Wissen, um zu wissen was ich tue. Ich habe nichts verändert oder ähnliches. Ich hatte eben nur Zugriff aufs Adminpanel. Nicht mehr und nicht weniger.
Du hast also SQL-Injection ausprobiert und dir so Zugriff verschafft. Das ist meines Wissens nicht legal. Aber wenn du vorsichtig z.B. über anonymous Proxies vorgehst, kann dir wahrscheinlich niemand etwas nachweisen.
In diesem Fall würde ich den Betreiber darauf hinweisen, dass er "wahrscheinlich" ein Sicherheitsproblem hat, und sein Einverständnis dafür holen, dass ich mal versuche, Zugriff zu bekommen. Im Erfolgsfall soll er etwas dafür bezahlen, dass ich ihm die gefundene Lücke schließe bzw. mitteile, wie er sie selber schließen kann. Das wäre eine klare Win-Win-Situation :)
Gruß, Don P