Ergebnis 1 bis 10 von 32

Thema: VMS Forum

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    Zitat Zitat von Pauli1990 Beitrag anzeigen
    jpwfour ich würde das Gefixxte Addon gerne teste, wenn du es mir erlaubst.
    Kein Ding, da musst du mich nicht fragen, sofern du es dir selber installierst (lokal/Testserver) darfst du es so ausführlich testen, wie du willst

    Solltest du es auf Seiten anderer Leute "testen" wollen, werde ich dir natürlich dazu kein "OK" geben, denke versteht sich von selbst (und ich hab es nicht online damit du es da testen könntest).

    Is' eh generell kritisch, klar findet man solche Lücken am besten wenn ein Skript im Einsatz ist, aber da auch schon das Ausprobieren auf einer Seite u.U. strafbar sein kann, sollte man das eher nicht machen, ohne den Betreiber vorher zu fragen, schreibt man ihn nämlich nachher an und sagt: "Hey du übrigens kann ich deine EF Daten einsehen" könnte er einen ja schon direkt anzeigen (mit Geständnis dazu wie praktisch ).
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  2. #2
    Erfahrener Benutzer
    Registriert seit
    10.11.2009
    Beiträge
    182
    Naja Soweit geh ich gar nicht.

    Ich sehe diese Lücken (Erfahrungswerte), man ändert im Grunde nur die "Url" oben im Browser um.

    Dies ist nicht Strafbar, man erkennt ja wie sich das script verhält nach dieser Eingabe.
    Und so erkenne ich, wo die Lücken vorhanden sind, das neue Forum ist von Sqli befreit. Auf XSS teste ich es bei gelegenheit.

  3. #3
    Erfahrener Benutzer
    Registriert seit
    22.07.2006
    Beiträge
    273
    Das ist ein Irrglaube. Das verändern der URL stellt genauso eine Manipulation dar wie das Verändern des Formulars selber oder durch entsprechende Eingaben in den Formularfeldern.
    Ziel ist es das Script dazu zu bewegen etwas anderes zu tun als das wofür es vorgesehen ist. Die Übertragungsmethode spielt dabei keine Rolle.

    Kurz: Das Ausprobieren ohne Erlaubnis, egal wie, ist in jedem Fall schon eine Strafbare Handlung.

  4. #4
    Erfahrener Benutzer
    Registriert seit
    10.11.2009
    Beiträge
    182
    Der Webseiten betreiber ist verpflichtet seine Seite sauber zu halten

    Den link darf man verändern wie man will Ich gelange ja so nicht auf den Server oder so

    Ich sehe nur wie das Script sich bewegt

    XSS Test mache ich heute abend.

  5. #5
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717

    Frage

    Zitat Zitat von Pauli1990 Beitrag anzeigen
    Der Webseiten betreiber ist verpflichtet seine Seite sauber zu halten

    Den link darf man verändern wie man will Ich gelange ja so nicht auf den Server oder so ...
    Jo, sicher hat der Betreiber einer Seite auch die Pflicht, das Skript abzusichern, bzw. trägt die Verantwortung zum Großteil selbst.

    Trotzdem darfst du nicht frei die URL manipulieren, besonders wenn du weist, was dabei rauskommt (also mit kriminellem Hintergedanken), meiner Meinung nach, bin ja auch kein Jurist

    Meist passiert ja nicht viel, aber wenn du durch die Manipulation in Kauf nimmst, persönliche Daten anderer Nutzer der Seite einzusehen oder zu manipulieren, machst du dich schon mit großer Wahrscheinlichkeit strafbar.

    Naja is auch jedem seine eigene Sache, ich persönlich würde sowas bei anderen Seiten jedenfalls nicht machen, ohne vorher zu fragen.
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  6. #6
    Erfahrener Benutzer
    Registriert seit
    22.07.2006
    Beiträge
    273
    Das der Webseiten Betreiber sein Seite sauber halten muss erlaubt dir noch lange nicht die übergebenen Daten zu Manipulieren.

    Es spricht wohl nichts dagegen wenn du z.Bsp.: aus:
    http://designerscripte.net/showthread.php?t=13232&page=2
    ein
    http://designerscripte.net/showthread.php?t=13232&page=20
    machst um direkt auf eine bestimmt Unterseite zu gelangen.

    Machst du aber aus:
    http://designerscripte.net/showthread.php?t=13232&page=2
    ein
    http://designerscripte.net/showthread.php?t=13232&page='include...' oder
    http://designerscripte.net/showthread.php?t=13232&page=ichwilldieDatenbankaus lesen
    etc.
    stellt das in jedem Fall ein Angriff auf die Seite dar. Vollkommen egal ob die das abfängt, dir die komplette DB anzeigt oder du mittels so eingebundenem Script gar Root Zugriff auf dem Server erlangst (und ja, bei schlecht konfigurierten Servern / Fehlerhaften Scripten geht das!).

    Strafrechtlich kannst du in jedem Fall dafür belangt werden wenn du das nur versuchst. Selbst wenn du keinen Schaden dabei anrichtest. Auch spielt es keine Rolle welche Übergabe Methode du verwendest. Dem Betreiber der Seite passiert dabei rechtlich rein gar nichts, völlig egal wie unsicher das verwendete Script ist.

    Wenn du mir nicht glaubst, mach dich bei nem Anwalt darüber mal richtig schlau. Ich hab das Thema durch seitdem mir mal einer über ein gekauftes Script nen Virus per $_Get (also URL Übergabe) auf den Server geladen hatte. Ist zwar ne Weile her aber sowas vergisst man nicht so schnell.

  7. #7
    Erfahrener Benutzer
    Registriert seit
    10.11.2009
    Beiträge
    182
    Und falls ich ein " mache Heißt das was? Ich lese damit nix aus ich seh nur Addon von Drecks Klamm programmieren verfuscht oder Addon i.o

    Kein Angriff in die Db.!!

  8. #8
    Erfahrener Benutzer Avatar von Parl
    Registriert seit
    22.05.2008
    Beiträge
    358
    Die Frage ist, warum du das " machst. Bei normaler Nutzung einer Seite ist das ja nicht notwendig die URL in irgendeiner Weise zu verändern.

    Wenn ich in meinen Logs dann sehe da hat einer meine index.pphp mit parameter blubb=bla aufgerufen, was laut Script ja garnicht sein kann, wär ich auch erst mal skeptisch. Auch wenn die Absicht des Users vielleicht garnicht böse war.

    Ich klaue ja auch nix beim Mediamarkt und sag dann ich wollt mal den Diebstahlschutz testen.
    YY Order!
    Meine Loseseite Meine Scripte
    For I am Costanza: Lord of the Idiots!

  9. #9
    Erfahrener Benutzer
    Registriert seit
    22.07.2006
    Beiträge
    273
    Zitat Zitat von Pauli1990 Beitrag anzeigen
    Und falls ich ein " mache Heißt das was? Ich lese damit nix aus ich seh nur Addon von Drecks Klamm programmieren verfuscht oder Addon i.o

    Kein Angriff in die Db.!!
    Du provozierst damit eine vom Programmierer nicht beabsichtigte Reaktion des Scripts (Abbruch von Querys, etc.) und wie gehen Angreifer vor?
    Richtig, die versuchen ein fehl Verhalten des Scripts zu Provozieren also genau das selbe wie du mit dem z.Bsp.: " machst. Das ist als Teil eines Angriffs zu werten (Ausspähen von möglichen Lücken)
    Nur mit dem " kannst du (wenn display_errors=on gesetzt ist) schon etwas über die Verzeichnisstruktur, interne Dateinamen sowie Zeilennummer erfahren wo der Fehler aufgetreten ist. Wichtige Informationen für einen Angriff.
    Das selbe kann man im schlechtesten Fall auch erreichen wenn man nur einen einzelnen Buchstaben an einen Parameter übergibt wo nur Zahlen erwartet werden. Je nach Funktion könnte das z.Bsp.: zu einem: division by zero in (hier der Pfad) Line ... führen.

    Das kann (sofern du keine Erlaubnis dafür hast) durchaus als Angriff gewertet und entsprechend verfolgt werden.

    Also tu dir selber den Gefallen: Wenn du Lust verspürst irgendeine Seite zu prüfen (egal wie Umfangreich) Frage Grundsätzlich IMMER! nach ob du das darfst (und halte dich bei einem nein auch daran).

Ähnliche Themen

  1. forum etc.
    Von Gabriel im Forum Weiterentwicklung Basisscript
    Antworten: 8
    Letzter Beitrag: 17.07.2013, 14:36
  2. Forum für das VMS
    Von isaack im Forum Scripte
    Antworten: 2
    Letzter Beitrag: 03.06.2010, 16:02
  3. Forum
    Von seg98 im Forum Support zum VMSone
    Antworten: 2
    Letzter Beitrag: 23.10.2008, 20:23
  4. RTL Forum
    Von sebi-home im Forum Non VMS Seiten
    Antworten: 1
    Letzter Beitrag: 01.07.2008, 18:34
  5. FakerHunter Forum
    Von DimpleX im Forum Talk, talk, talk...
    Antworten: 0
    Letzter Beitrag: 18.10.2007, 22:08

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •