Der Webseiten betreiber ist verpflichtet seine Seite sauber zu halten
Den link darf man verändern wie man willIch gelange ja so nicht auf den Server oder so
Ich sehe nur wie das Script sich bewegt
XSS Test mache ich heute abend.
Der Webseiten betreiber ist verpflichtet seine Seite sauber zu halten
Den link darf man verändern wie man will
Ich sehe nur wie das Script sich bewegt
XSS Test mache ich heute abend.
Jo, sicher hat der Betreiber einer Seite auch die Pflicht, das Skript abzusichern, bzw. trägt die Verantwortung zum Großteil selbst.Zitat von Pauli1990
Der Webseiten betreiber ist verpflichtet seine Seite sauber zu halten
Den link darf man verändern wie man will
Trotzdem darfst du nicht frei die URL manipulieren, besonders wenn du weist, was dabei rauskommt (also mit kriminellem Hintergedanken), meiner Meinung nach, bin ja auch kein Jurist
Meist passiert ja nicht viel, aber wenn du durch die Manipulation in Kauf nimmst, persönliche Daten anderer Nutzer der Seite einzusehen oder zu manipulieren, machst du dich schon mit großer Wahrscheinlichkeit strafbar.
Naja is auch jedem seine eigene Sache, ich persönlich würde sowas bei anderen Seiten jedenfalls nicht machen, ohne vorher zu fragen.
Kill one man, and you are a murderer.
Kill millions of men, and you are a conqueror.
Kill them all, and you are a god. - Jean Rostand, Thoughts of a Biologist (1939)
Das der Webseiten Betreiber sein Seite sauber halten muss erlaubt dir noch lange nicht die übergebenen Daten zu Manipulieren.
Es spricht wohl nichts dagegen wenn du z.Bsp.: aus:
http://designerscripte.net/showthread.php?t=13232&page=2
ein
http://designerscripte.net/showthread.php?t=13232&page=20
machst um direkt auf eine bestimmt Unterseite zu gelangen.
Machst du aber aus:
http://designerscripte.net/showthread.php?t=13232&page=2
ein
http://designerscripte.net/showthread.php?t=13232&page='include...' oder
http://designerscripte.net/showthread.php?t=13232&page=ichwilldieDatenbankaus lesen
etc.
stellt das in jedem Fall ein Angriff auf die Seite dar. Vollkommen egal ob die das abfängt, dir die komplette DB anzeigt oder du mittels so eingebundenem Script gar Root Zugriff auf dem Server erlangst (und ja, bei schlecht konfigurierten Servern / Fehlerhaften Scripten geht das!).
Strafrechtlich kannst du in jedem Fall dafür belangt werden wenn du das nur versuchst. Selbst wenn du keinen Schaden dabei anrichtest. Auch spielt es keine Rolle welche Übergabe Methode du verwendest. Dem Betreiber der Seite passiert dabei rechtlich rein gar nichts, völlig egal wie unsicher das verwendete Script ist.
Wenn du mir nicht glaubst, mach dich bei nem Anwalt darüber mal richtig schlau. Ich hab das Thema durch seitdem mir mal einer über ein gekauftes Script nen Virus per $_Get (also URL Übergabe) auf den Server geladen hatte. Ist zwar ne Weile her aber sowas vergisst man nicht so schnell.
Und falls ich ein " mache
Kein Angriff in die Db.!!
Die Frage ist, warum du das " machst. Bei normaler Nutzung einer Seite ist das ja nicht notwendig die URL in irgendeiner Weise zu verändern.
Wenn ich in meinen Logs dann sehe da hat einer meine index.pphp mit parameter blubb=bla aufgerufen, was laut Script ja garnicht sein kann, wär ich auch erst mal skeptisch. Auch wenn die Absicht des Users vielleicht garnicht böse war.
Ich klaue ja auch nix beim Mediamarkt und sag dann ich wollt mal den Diebstahlschutz testen.
YY Order!
Wieso sprichst du von Klauen?
Das eine hat nix mit den anderen zu tun.
So lang ich nirgends zugreife ist alles ok
http://www.designerscripte.net/newre...uote=1&p=93988
Ich gebe http://www.designerscripte.net/newreply.php?do=newreply&noquote=1&p=93988" ein
Es gibt aber sachen die sich verändern, die darf ich nicht Preis geben sagen wir z.b ( Design drückt stück nach unten)
Ein Angriff auf die Webseite, wäre das Nette Programm zu öffnen und das Script diese gewisse Variablen zuwerfen die es ermöglich in die Db zu schauen oder sonstiges. Oder dies Manuell zu tun.
Mit den Gänsefüßen startet man kein Angriff das ist Fakt. Sonst würde jeder Zweite von uns Hacken können die eine Hälte sind ja nur Spezialisten in Pc an und aus schalten. Da dies zum Glück nicht so ist ist dies keine Bedrohung.
Wenn du ein Pech hast und du brichst mit " sensible Querys ab, dann will ich nicht in deiner Haut stecken.
Es gibt durcchaus Operationen, wenn die fehlschlagen und du bist z.B. schuld, dass das Refsystem zerschossen wird... viel Spaß^^
Wenn man durch ein " wie du sagst Querys abfängt/abbricht, dann hat die Seite ganz andere Probleme
Du provozierst damit eine vom Programmierer nicht beabsichtigte Reaktion des Scripts (Abbruch von Querys, etc.) und wie gehen Angreifer vor?Und falls ich ein " mache
Kein Angriff in die Db.!!
Richtig, die versuchen ein fehl Verhalten des Scripts zu Provozieren also genau das selbe wie du mit dem z.Bsp.: " machst. Das ist als Teil eines Angriffs zu werten (Ausspähen von möglichen Lücken)
Nur mit dem " kannst du (wenn display_errors=on gesetzt ist) schon etwas über die Verzeichnisstruktur, interne Dateinamen sowie Zeilennummer erfahren wo der Fehler aufgetreten ist. Wichtige Informationen für einen Angriff.
Das selbe kann man im schlechtesten Fall auch erreichen wenn man nur einen einzelnen Buchstaben an einen Parameter übergibt wo nur Zahlen erwartet werden. Je nach Funktion könnte das z.Bsp.: zu einem: division by zero in (hier der Pfad) Line ... führen.
Das kann (sofern du keine Erlaubnis dafür hast) durchaus als Angriff gewertet und entsprechend verfolgt werden.
Also tu dir selber den Gefallen: Wenn du Lust verspürst irgendeine Seite zu prüfen (egal wie Umfangreich) Frage Grundsätzlich IMMER! nach ob du das darfst (und halte dich bei einem nein auch daran).
Tja, du aber auch sofern es der Betreiber darauf anlegt.Wenn man durch ein " wie du sagst Querys abfängt/abbricht, dann hat die Seite ganz andere Probleme
Berechtigungen
Zitieren