Wie ich vorgehe => Ich teste => Gebe den Webmaster bescheid.
Kein Angriff!
Wie ich vorgehe => Ich teste => Gebe den Webmaster bescheid.
Kein Angriff!
Hinterher bescheid geben ist zu spät, da ist der Angriff (von dir als testen Bezeichnet) schon gelaufen...
Testen = versuchen zugriff auf Db/Webspace erlangen
Ich schaue nur ob vill möglich ist kann mich ja irren weitere schritte gehe ich net erst nachdem der Webbi sagt ok teste
Dazu reicht ein einfacher Aufruf der Seite wie es vorgesehen ist, eine Änderung der Parameter ist dafür nicht nötig.
Ich arbeite mit anderen Techniken
Nein aufruf reicht nicht, da du nicht siehst wie die Seite reagiert, glaub mit mein Lieber mir musst du davon nix erzählen
Um zu testen ob DB / Webspace erreichbar ist reicht ein simpler Aufruf.
Übergibst du an die Seite ohne VORHER eine Genehmigung einzuholen irgendwelche Parameter die nicht vorgesehen sind begehst du eine Straftat die verfolgt / geahndet werden kann.
Mit deiner Mitteilung hinterher machst du es einer Strafverfolgung nur einfacher, änderst aber nichts mehr an den Straftatbestand.
Da brauchst du nicht weiter versuchen dich mit "anderen Techniken", etc. raus zu reden. Das ist so und da du da scheinbar nicht glauben willst nochmal mein Rat dazu:
Lass dich vernünftig rechtlich in dem Punkt beraten. Du wirst da nichts anderes zu hören bekommen.
und nebenbei lose erpressen?
http://designerscripte.net/showthread.php?t=13234
Zitat aus einer PN die ich erhalten habe, absender anonymisiert:
Tut mir leid aber was du hier abziehst ist echt unter aller kanone!Moin,
vor ein paar Tagen hat dich doch mal ein User informiert, dass es angeblich eine Sicherheitslücke bei dir gab.
Jener User droht mir damit, mögliche lücken auszunutzen.
Mir wichtig zu erfahren, welche das waren, damit ich Maßnahmen treffen kann.
Vielen Dank.
LG
Ich bin ja besagter Progger des Forums und möchte mich hiermit auch bei jpwfour für das schnelle fixen bedanken, und ja, mir ist bei diesen Addon ein fehler unterlaufen, aber schau mal wieviel zeilen code das sind, dort ein einfaches int() zu vergessen kann durchaus mal passieren. Sowas passiert auch den besten Progger denn so doof das klingt eine gewisse Fehlerquote beim Programmieren ist Menschlich, ja selbst ebay hat schon Sicherheitslücken gehabt und einen 100 % Schutz gibt es eh NIE, denn wer eine Lücke finden will und es auch drauf hat (mit dem hacken) findet auch eine.
Aber ich möchte zu meinen Fehlern stehen und ich hoffe Sie werden mir verziehen.
Du hingegen.....
......tut mir leid da fällt mir nix ein.
Für mich bist du einfach nur ne arme Wurst.
Was ist mir dir? Hast du von deinen großen Bruder gezeigt bekommen wie man nen SQL Injection macht und willst jetzt hier damit Angst und Schrecken verbreiten?
Wenn du tatsächlich nur testen und Webmaster bescheid sagen willst dann will ich ja noch nichtmal etwas dagegen sagen aber User zu erpressen die vielleicht nicht soviel Ahnung von SQL Injection und der vorbeugung haben ist einfach nur scharmlos und in meinen Augen gehörst du dafür hier gesperrt inklusive der Entziehung des Nutzungsrechtes für das VMS!
1. Link => Service, muss keiner beanspruchen, dann folgt kein Check erpressung ist das nicht.
2. Der User wird nicht von mir sprechen, da ich sowas nich tue!
So, dann melde ich mich auch mal zu der Sache.
Am 29.11.2010 01:28 Uhr, hab ich eine PN von Pauli1990 bekommen mit dem Hinweis, dass es wohl eine Sicherheitslücke auf einer meiner Seiten gibt. Worum es sich genau handelt, stand nicht drin.
Ich fragte ihn dann worum es genau geht und erhielt darauf eine Antwort, in der er schrieb, dass er das nach dem "Scan" sehen würde. Das machte mich dann schon mal sehr skeptisch und ich dachte er wollte mich nur auf den Bug im Forum hinweisen (den ich am selben Tag behoben hatte).
Jetzt hab ich eben mal in meine Logs gesehen und erschreckend festgestellt, dass ich am 28.11.2010 zwischen 22:06 Uhr und 22:14 Uhr, eine ganze Menge Aufrufe aufs Forum von einem Gast hatte (der User kam hier aus dem Forum). Das selbe nochmal am 29.11.2010 zwischen 00:23 Uhr und 00:29 Uhr. Teilweise sogar 5 Aufrufe innerhalb einer Sekunde, was darauf schließen lässt, dass evtl. mit einer Software gearbeitet wurde
Ich möchte nicht behaupten, dass es Pauli1990 war, da ich das ohne rechtliche Schritte nicht nachweisen kann.
Ob ich rechtliche Schritte einleite muss ich mal sehen. Ich weiß noch nicht genau was dieser User gemacht hat. Werde mal die kompletten Logs durchgehen und dann mal schauen was da gemacht wurde.
Was jetzt natürlich interessant wäre, wenn ihr mal in euren Logs schaut, ob ihr auch in dem Zeitraum eine Vielzahl von Aufrufen aufs Forum hattet.
eBesucher verdienen | Wechselstube | 175 Lose / SigView
eBesucher Werbenetzwerk | Technik günstig kaufen
Gutschein für ads4eBesucher.de & losebene.de: designerscripte