Hallo
da ich viel im Internetsurfe und manchmal just for fun ein paar Sicherheitsmerkmale der Webseiten checke z.B. XSS, fallen mir hier und dort ein paar Sicherheitslücken auf (dass eben XSS möglich ist). Bislang hab ich immer irgend ein Kontaktformular benutzt um den Seitenbetreiber darauf aufmerksam zu machen (Was dieser arroganter Weise gekonnt ignoriert hat, meistens jeden falls).
Letztens hat mich jemand darauf aufmerksam gemacht, dass man mit sowas eigentlich Geld verdienen könnte. Große Unternehmen zahlen ganz gute Summen für solche Hinweise. Bei den Seiten wo ich das finde handelt es sich jedoch um eher kleinere Firmen. Also hohe Summen kann man nicht erwarten, aber so 50 € z.B. ist doch auch was feines.
Jetzt wollte ich zwei Dinge Fragen:
- ist mein Vorgehen eigentlich rechtens? Ist ja irgendwie eine Art Erpressung?!
Um wirklich herauszufinden, ob diese Sicherheitslücke auch wirklich eine ist, respektive dein Angriff tatsächlich funktionieren würde, musst du diesen Angriff durchführen. Das ist ab diesem Zeitpunkt -meines Erachtens- illegal. Ansonsten hast du ja keinen Beweis, es sei denn, dein Testverfahren ist ausgetüftelt.
- Wenn der Seitenbetreiber kein Interesse zeigt, gibt es andere Möglichkeiten dieses Wissen zu verkaufen? z.B. Presse, Konkurrenz?
du meinst, wenn du eine Sicherheitslücke im Webformular von Websitebetreiber A findest, und dieser kein Interesse an der Schliessung dieser Lücke zeigt, möchtest du mit diesem Wissen an die Presse gehen. Um was genau zu erreichen? Oder redest du von Standardsoftware?
Dom