Hi Leute

Wem ist das schon mal passiert...

Gestern habe ich auf einer sehr bekannten Website, einen kleinen aber feinen Bug mittels einer SQL Injection entdeckt. ( Ein anderer Benutzer hatte sich diese für seine eigenen Zwecke zu nutze gemacht)

Nun ich bin alles andere als ein Hacker und von SQL habe ich ebenfalls nicht die besten kenntnisse... doch grade das zeigt, wie verherend dieser Fehler ist.

Als ich die Betreiber darauf Afmerksam machte, kam als Antwort das mein Account ab sofort gesperrt sei.
Anscheinend weil meine Daten nicht vollständig ausgefüllt seien.
Es kanm weder ein Statement zu dieser Sicherheitslücke noch sonstige anregungen ( Ein "dankeschön" oder nur schon ein "wir sehen uns das an" hätte gereicht)

Ich könnte mich schwarz ärgern.

Errinnert mich schon fast ein bisschen an den T-Hack (2003)
Dirk Heringhaus hatte eine Fatale Sicherheitslücke die sogar ein Kind hätte entdecken können den Betreibern mittgeteilt und wurde dafür am schluss verklagt
www.t-hack.de
(in Chaosradio volume 94 machen sich die Moderatoren über die Betreiber auf lustige weise lustig )


Ihr wollte eigentlich nur helfen, bekomme aber dafür eine bestrafung oder alles zu hören, nur kein Dankeschön....

Ich möchte damit eigentlich nur fragen,

Wer von euch hat schon ähnliches erlebt ?


Grüsse

Ein Frustierter Darkmind

Erstmals Respekt für dein Verhalten, ich hätte wohl das gleiche getan.

Ist leider in den meisten Fällen so, dass du anstatt eines Dankeschöns ne Anzeige und einen Tritt in den Hintern kriegst. Erinnert mich irgendwie an den Hackerfall von Frankreich, wo damals ein franz. Hacker eine Sicherheitslücke in einem Banksystem entdeckt hatte und anstatt ein reicher Mann zu werden als goodwill die Sicherheitslücke der Bank gemeldet hatte. Nun sitzt er immer noch im Knast

Hallo Darkmind,

Das kenne ich nur zu Gut. Wenn man noch div. Vorschläge schickt um den Bug zu beheben, kommt entweder keine Antwort, kein Danke oder etwas dergleichen.

Die Leute sind undankbar.

Von daher rate ich dir, dass du die Dinge für dich behälst. Vielleicht kannst du sie später noch brauchen


bye, pantheros

...Ausser natürlich in diesem Forum. Hier wirst du mit Applaus bedient und (hoffentlich) nicht verbannt...

Korrekt. Ich hab hier auch schon per Zufall ein Konfigurationsfehler entdeckt und Rene darauf hingewiesen. Er hat den Bug behoben und mir für die Ehrlichkeit gedankt. War trotzdem interessant, wieviel versteckte Foren es gibt

Hallo Leute

@Phil und alle anderen...

Vielen Dank für die aufmunternden worte.
Tut gut zu hören, das man sich nicht als verbrecher fühlen muss.

Musste mir jetzt noch einiges gefallen lassen durch den regen E-Mail verkehr mit dem Geschäftsführer.. hatte diesen gestern direkt angekickt, da ich durch einige umwege auf seine Private Website gestossen bin
( Habe ihm geschrieben das ich genau aus diesem Grund anonym bleibe und ich deshalb nicht meine vollständigen Daten in mein Profil schreibe.)
Deshalb wurde mein Account anscheinend gesperrt.

@pantheros

Vielen Dank für deinen Ratschlag, dies werde ich in zukunft so machen. (Ausser hier im Forum natürlich )
Dieser streit mit diesen Jungs hat mir grade den Rest gegeben.

Ich verweise da immer wiederauf den spruch " und undankbar ging die welt zugrunde" ist wohl wirklich was dran.

In meinem Link ist der alte t-hack streitfall nicht so gut zu erkennen, man kann es besser hier nachlesen:
www.ccc.de/t-hack

Was die schwachstelle oder genauer beschrieben den Bug angeht.. sei dies anscheinend keiner... nun gut whatever... ich kenn mich mit SQL echt zuwenig aus..
Doch auf jedenfall lässt sich damit ein Teil der Site manipulieren..
vielleicht ein Feature ?




Grüsse

Darkmind

hi Darkmind,

Naja, wenn du möchtest, kannst du mir mal eine Private Message schicken mit den Daten d.h. sql query, seite, wie dus gemacht hast. Ich werds dann mal anschauen, und versuchen zu bewerten. Natürlich werd ich keinen Schaden anrichten.

bye, pantheros

Hi Pantheros

Pm ist bei dir..
Vielen Dank für deinen Einsatz.

Grüsse

Darkmind

Macht hier doch mal einen Log, was ihr da herausfindet...

Scheint interessant zu sein...

Auf jedenfall....

kann einfach hier öffentlich keine namen usw nennen..

Weiss nicht ob der Foren Abmahnungswahn in der Schweiz auch einzug hält. Deshalb bin ich ein bisschen Vorsichtig.



Grüsse

Darkmind

Hallo selci,