Archief
- De topics van lang geleden
Publiceren hack-tool verboden?
05-03-2008, 10:23 door Anoniem, 18 reacties
Ik heb een eenvoudige tool geschreven. Waar mee ik gegevens uit een
database kan enummeren via een (blind)SQL-injectie lek.
Bijvoorbeelde systeem variable, zoals version() of resultaten van een query
Mag dat?
Mag ik deze publiceren?
De broncode? scriptkidy veilig?
Wat is de wet?
wat is je mening?
Greetingz,
Jacco
database kan enummeren via een (blind)SQL-injectie lek.
Bijvoorbeelde systeem variable, zoals version() of resultaten van een query
Mag dat?
Mag ik deze publiceren?
De broncode? scriptkidy veilig?
Wat is de wet?
wat is je mening?
Greetingz,
Jacco
Reacties (18)
05-03-2008, 11:22 door
jmp
Vermeld gewoon bij de source code dat het een onderzoek project is en dat
het gratis software is en niet voor comerciele doel einde gebruikt mag
worden. Wettig gezien is het dan niet strafbaar. Je deeld gewoon kennis dan
op onderzoek gebied.
Wat iemand met die code doet is nog altijd voor zijn eigen
verantwoordelijkheid. Je kan ook sites gebruiken die anonymous pasting
doen.
Zoals een site http://rafb.net/paste/
het gratis software is en niet voor comerciele doel einde gebruikt mag
worden. Wettig gezien is het dan niet strafbaar. Je deeld gewoon kennis dan
op onderzoek gebied.
Wat iemand met die code doet is nog altijd voor zijn eigen
verantwoordelijkheid. Je kan ook sites gebruiken die anonymous pasting
doen.
Zoals een site http://rafb.net/paste/
jmp, mag ik uit jou reactie opmaken dat het publiceren van de gecompileerde
versie verboden is bij wet?
Of pas als deze word misbruikt?
Greetingz,
Jacco
versie verboden is bij wet?
Of pas als deze word misbruikt?
Greetingz,
Jacco
06-03-2008, 12:36 door
[Account Verwijderd]
[Verwijderd]
06-03-2008, 13:14 door
jmp
Jacco,
Het is niet verboden volgens mij.Open source programma's als nmap zijn ook tegen de wet. Maar toch wordt het gebruikt door security "profecionals'.
Volgens mij mag je het gewoon compileren en erop zetten.
Het is nog altijd de eind gebruiker die verrantwoordelijk is. MP3 programma's en download programma's als dc++ is hier een mooi voorbeeld van.
Wat je ook zou kunnen doen is gewoon een hack verranderen als programma
of source code. Dan klinkt het ook minder zwaar. En vraag het gewoon gewoon bij een juridisch steunpunt die kunnen ook advies geven.
Het is niet verboden volgens mij.Open source programma's als nmap zijn ook tegen de wet. Maar toch wordt het gebruikt door security "profecionals'.
Volgens mij mag je het gewoon compileren en erop zetten.
Het is nog altijd de eind gebruiker die verrantwoordelijk is. MP3 programma's en download programma's als dc++ is hier een mooi voorbeeld van.
Wat je ook zou kunnen doen is gewoon een hack verranderen als programma
of source code. Dan klinkt het ook minder zwaar. En vraag het gewoon gewoon bij een juridisch steunpunt die kunnen ook advies geven.
06-03-2008, 13:39 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem
Ik heb een eenvoudige tool geschreven. Waar mee ik gegevens uit een
database kan enummeren via een (blind)SQL-injectie lek.
Bijvoorbeelde systeem variable, zoals version() of resultaten van een query
Mag dat?
Mag ik deze publiceren?
De broncode? scriptkidy veilig?
Wat is de wet?
wat is je mening?
Greetingz,
Jacco
Waarom heb je zo'n behoefte om iets waarvan je voelt dat het niet deugt toch Ik heb een eenvoudige tool geschreven. Waar mee ik gegevens uit een
database kan enummeren via een (blind)SQL-injectie lek.
Bijvoorbeelde systeem variable, zoals version() of resultaten van een query
Mag dat?
Mag ik deze publiceren?
De broncode? scriptkidy veilig?
Wat is de wet?
wat is je mening?
Greetingz,
Jacco
te willen doen? Want anders stel je die vraag toch niet?
Door jmp
Open source programma's als nmap zijn ook tegen de wet. Maar toch wordt
het gebruikt door security "profecionals'.
hoe kom je aan deze wijsheid, heb je daar enig bewijs voor? volgens mij is Open source programma's als nmap zijn ook tegen de wet. Maar toch wordt
het gebruikt door security "profecionals'.
nmap opzich helemaal niet "tegen de wet".
In mijn ogen deugt het zeker wel, ik heb de tool al heel vaak gebruikt om de
`non-believers` aan te tonen wat het gevaar is van een "kleine"
SQL-inject lek.
Daar zouden anderen hem ook voor kunnen gebruiken, of zelf het gevaar van
SQL-injectie ontdekken.
Ik wil dus anderen er mee helpen. Deugt dat niet?
Greetingz,
Jacco
`non-believers` aan te tonen wat het gevaar is van een "kleine"
SQL-inject lek.
Daar zouden anderen hem ook voor kunnen gebruiken, of zelf het gevaar van
SQL-injectie ontdekken.
Ik wil dus anderen er mee helpen. Deugt dat niet?
Greetingz,
Jacco
06-03-2008, 15:29 door
jmp
Door Nielsk op donderdag 06 maart 2008 13:39
Die programma's zijn voor meerdere doeleinden dus voor slechte en goede
dingen.
Die programma's zijn voor meerdere doeleinden dus voor slechte en goede
dingen.
Jah dus is het niet verboden.
Door Anoniem
In mijn ogen deugt het zeker wel, ik heb de tool al heel
vaak gebruikt om de
`non-believers` aan te tonen wat het gevaar is van een
"kleine"
SQL-inject lek.
Daar zouden anderen hem ook voor kunnen gebruiken, of zelf
het gevaar van
SQL-injectie ontdekken.
Ik wil dus anderen er mee helpen. Deugt dat niet?
Greetingz,
Jacco
het lijkt er weer eens op dat jacco gewoon wat aandacht wil.In mijn ogen deugt het zeker wel, ik heb de tool al heel
vaak gebruikt om de
`non-believers` aan te tonen wat het gevaar is van een
"kleine"
SQL-inject lek.
Daar zouden anderen hem ook voor kunnen gebruiken, of zelf
het gevaar van
SQL-injectie ontdekken.
Ik wil dus anderen er mee helpen. Deugt dat niet?
Greetingz,
Jacco
publiceer het lekker, dat doen zoveel mensen met exploits,
er gebeurt verder toch niks.
Door Anoniem
Ik heb een eenvoudige tool geschreven. Waar mee ik gegevens uit een
database kan enummeren via een (blind)SQL-injectie lek.
Bijvoorbeelde systeem variable, zoals version() of resultaten van een query
Mag dat?
Mag ik deze publiceren?
De broncode? scriptkidy veilig?
Wat is de wet?
wat is je mening?
Greetingz,
Jacco
Tot nu toe heb je nog geen juridisch advies ontvangen. Via veronderstellingen Ik heb een eenvoudige tool geschreven. Waar mee ik gegevens uit een
database kan enummeren via een (blind)SQL-injectie lek.
Bijvoorbeelde systeem variable, zoals version() of resultaten van een query
Mag dat?
Mag ik deze publiceren?
De broncode? scriptkidy veilig?
Wat is de wet?
wat is je mening?
Greetingz,
Jacco
en giswerk worden nu antwoorden gegeven. Praat eens met een jurist of
schrijf een brief naar een juridisch journalist van een krant. Die kunnen je
verder helpen.
07-03-2008, 08:43 door
[Account Verwijderd]
[Verwijderd]
07-03-2008, 09:09 door
jmp
Door Anoniem op donderdag 06 maart 2008 14:03
quote:
--------------------------------------------------------------------------------
Door jmp
Open source programma's als nmap zijn ook tegen de wet. Maar toch wordt
het gebruikt door security "profecionals'.
--------------------------------------------------------------------------------
hoe kom je aan deze wijsheid, heb je daar enig bewijs voor? volgens mij is
nmap opzich helemaal niet "tegen de wet".
quote:
--------------------------------------------------------------------------------
Door jmp
Open source programma's als nmap zijn ook tegen de wet. Maar toch wordt
het gebruikt door security "profecionals'.
--------------------------------------------------------------------------------
hoe kom je aan deze wijsheid, heb je daar enig bewijs voor? volgens mij is
nmap opzich helemaal niet "tegen de wet".
Nmap is een tool waarmee je computer vredebreuk kan plegen het is ook
geschreven als scan programma waarvoor je geen toestemming hebt
gevraagd van de eigenaar van de computer dus strafbaar. Het is ook
geschreven om te hacken.
Door jmp
Nmap is een tool waarmee je computer vredebreuk kan plegen het is ook
geschreven als scan programma waarvoor je geen toestemming hebt
gevraagd van de eigenaar van de computer dus strafbaar. Het is ook
geschreven om te hacken.
Met Nmap kan je geen computer vredebreuk plegen. Nmap geeft je geen Nmap is een tool waarmee je computer vredebreuk kan plegen het is ook
geschreven als scan programma waarvoor je geen toestemming hebt
gevraagd van de eigenaar van de computer dus strafbaar. Het is ook
geschreven om te hacken.
toegang tot een computer maar laat slechts zien wat voor apparaat er
aangesloten is op een bepaald IP address en welke services aangeboden
worden. Daarbij heeft Nmap de mogelijkheid om zijn scan te maskeren.
Nmap is vooral bedoeld om een verkenning uit te voeren. Het geeft een
indicatie niet meer niet minder. In een aantal landen is een tool als Nmap
verboden. Voor zover ik weet is dat in Nederland niet het geval, omdat Nmap
ook goed gebruikt kan worden om te controleren wat voor apparaten er op een
netwerk zijn aangesloten. Voor een beheerder van een redelijk open netwerk
is dit zeer nuttig als er ergens een netwerkverstoring is.
Je hebt een tool geschreven die SQL injects doet? Denk niet
dat iemand er iets op tegen heeft als je dat publiceert. Is
nou niet alsof je een lek in MySQL hebt ontdekt ofzo.
dat iemand er iets op tegen heeft als je dat publiceert. Is
nou niet alsof je een lek in MySQL hebt ontdekt ofzo.
Een exploit bubliceren is niet verboden hoor.
Ik heb zo ook wat beveiligings lekken ontdekt in joomla enzo.
Die stuur ik op naar buqtrack sites en daar worden ze dan gepost.
Altijd het nadeel dat scriptkiddies het gaan misbruiken.
Maar het voordeel is dat microsoft bijv die bug ziet en het dan weer ongedaan
maakt.
In de NL wet staat niet dat het verboden is tools voor hacken te publiceren.
Maar wel op iemands anders zn site uit testen.
Ik heb zo ook wat beveiligings lekken ontdekt in joomla enzo.
Die stuur ik op naar buqtrack sites en daar worden ze dan gepost.
Altijd het nadeel dat scriptkiddies het gaan misbruiken.
Maar het voordeel is dat microsoft bijv die bug ziet en het dan weer ongedaan
maakt.
In de NL wet staat niet dat het verboden is tools voor hacken te publiceren.
Maar wel op iemands anders zn site uit testen.
08-08-2008, 13:12 door
Dunes
Het is de gebruiker van het tool die er goed of kwaad mee doet.
Vergelijk het met een breekijzer. Je kan het gebruiken om de
deur van je eigen huis mee open te maken omdat je bv je
sleutels bent vergeten en de deur is het slot gevallen of je
kan het breekijzer gebruiken om een deur te forceren en er
een inbraak mee te plegen.
Zo ook je ook software gebruiken om te testen of jouw
site/applicatie gevoelig is voor SQL-injection met de
bedoeling om dit te verbeteren of je kan het gebruiken om in
te breken in sites of applicaties.
Vergelijk het met een breekijzer. Je kan het gebruiken om de
deur van je eigen huis mee open te maken omdat je bv je
sleutels bent vergeten en de deur is het slot gevallen of je
kan het breekijzer gebruiken om een deur te forceren en er
een inbraak mee te plegen.
Zo ook je ook software gebruiken om te testen of jouw
site/applicatie gevoelig is voor SQL-injection met de
bedoeling om dit te verbeteren of je kan het gebruiken om in
te breken in sites of applicaties.
09-08-2008, 11:06 door
spatieman
iedere ,goedaardige software kan misbruikt worden.
als het daarop aan komt, zou linux verboden moeten worden.
en windows dan ook..
want het zijn de OS'n die het medium uitvoeren...
als het daarop aan komt, zou linux verboden moeten worden.
en windows dan ook..
want het zijn de OS'n die het medium uitvoeren...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
