Hallo

da ich viel im Internetsurfe und manchmal just for fun ein paar Sicherheitsmerkmale der Webseiten checke z.B. XSS, fallen mir hier und dort ein paar Sicherheitslücken auf (dass eben XSS möglich ist). Bislang hab ich immer irgend ein Kontaktformular benutzt um den Seitenbetreiber darauf aufmerksam zu machen (Was dieser arroganter Weise gekonnt ignoriert hat, meistens jeden falls).
Letztens hat mich jemand darauf aufmerksam gemacht, dass man mit sowas eigentlich Geld verdienen könnte. Große Unternehmen zahlen ganz gute Summen für solche Hinweise. Bei den Seiten wo ich das finde handelt es sich jedoch um eher kleinere Firmen. Also hohe Summen kann man nicht erwarten, aber so 50 € z.B. ist doch auch was feines.
Jetzt wollte ich zwei Dinge Fragen:

1. ist mein Vorgehen eigentlich rechtens? Ist ja irgendwie eine Art Erpressung?!

Um wirklich herauszufinden, ob diese Sicherheitslücke auch wirklich eine ist, respektive dein Angriff tatsächlich funktionieren würde, musst du diesen Angriff durchführen. Das ist ab diesem Zeitpunkt -meines Erachtens- illegal. Ansonsten hast du ja keinen Beweis, es sei denn, dein Testverfahren ist ausgetüftelt.

2. Wenn der Seitenbetreiber kein Interesse zeigt, gibt es andere Möglichkeiten dieses Wissen zu verkaufen? z.B. Presse, Konkurrenz?

du meinst, wenn du eine Sicherheitslücke im Webformular von Websitebetreiber A findest, und dieser kein Interesse an der Schliessung dieser Lücke zeigt, möchtest du mit diesem Wissen an die Presse gehen. Um was genau zu erreichen? Oder redest du von Standardsoftware?

Dom

Tach,

1. ist mein Vorgehen eigentlich rechtens?

es ist aus meiner Sicht mindestens unmoralisch. Wenn du nicht damit beauftragt bist, könnte potentiell schon das Testen auf Lücken gesetzeswidrig sein, abhängig davon was du genau tust.

Ist ja irgendwie eine Art Erpressung?!

Je nachdem womit du drohst, wenn du nicht bezahlt wirst, durchaus. Wenn du nur drohst und dich nicht bereichern willst, dann ist es vielleicht Nötigung.

2. Wenn der Seitenbetreiber kein Interesse zeigt, gibt es andere Möglichkeiten dieses Wissen zu verkaufen? z.B. Presse, Konkurrenz?

Full disclosure, Gewinn daraus schlagen eher nein

mfg
Woodfighter

http://de.wikipedia.org/wiki/Penetrationstest_(Informatik)

AUF KEINEN FALL sollte man irgendwelche Tests/Angriffe durchführen, bevor nicht alles vertraglich mit dem Auftraggeber (=Betreiber der Website, Applikation, ...) geregelt ist.

Hallo!

Du kannst zwar entsprechende Angebote machen, solltest Dich aber zurückhalten, was das Ausnutzen dieser Lücken oder das Verkaufen der Informationen an die Presse oder die Konkurrenz angeht: beides könnte unter Umständen strafbar sein (bösartige Anwälte sind leider oft leichter zu bekommen als gutartige Entwickler).

Gruß, LX

Hoi!

Kommt alles drauf an, wem Du die Exploits verkaufst.

1. ist mein Vorgehen eigentlich rechtens? Ist ja irgendwie eine Art Erpressung?!

Wenn deine Angriffe den Serverbetrieb beeinträchtigen, kann dich der Betreiber verklagen. Das kann, grad bei grossen Firmen, ne siebenstellige Summe ausmachen.

Moin!

da ich viel im Internetsurfe und manchmal just for fun ein paar Sicherheitsmerkmale der Webseiten checke z.B. XSS, fallen mir hier und dort ein paar Sicherheitslücken auf (dass eben XSS möglich ist). Bislang hab ich immer irgend ein Kontaktformular benutzt um den Seitenbetreiber darauf aufmerksam zu machen (Was dieser arroganter Weise gekonnt ignoriert hat, meistens jeden falls).

Im August ist wieder CCC-Camp. Und wie auf solchen Camps üblich, sammeln sich im Wiki immer zahlreiche Links zu hackbaren Seiten. Da kannst du dein Wissen ja mit reinmischen. :)

- Sven Rautenberg