Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SQL injectie melden

01-03-2012, 10:09 door Anoniem, 10 reacties
Hallo,

Ik heb een aantal grotere winkels gevonden welke kwetsbaar zijn voor sql injectie.
Nu vroeg ik me af hoe kun je dit het beste mededelen zodat ze het op kunnen lossen?
Ik wil uiteraard niet in de problemen komen, omdat ik per toeval een fout in hun website vindt.

mvg,

Henk
Reacties (10)
01-03-2012, 13:16 door Anoniem
mijn ervaring is dat je het beste gebruik kan maken van het 'recht op bronbescherming' dat journalisten hebben.
Reken er niet op deat onze overheid je beschermd.
Deze nalatige luilakken (of zijn ze gewoon onkundig?) doen niets om je te beschermen.
En als je identiteit bekend wordt kan/hoef je NOOIT meer voor ze komen werken.
Dat is de dank die je krijgt

mijn advies: mail Brenno de Winter


Greetingz,
Jacco
01-03-2012, 13:44 door SirDice
Begin eens met het melden van het probleem bij de webmaster aka de eigenaar van de website.

Wees gewoon eerlijk en professioneel, meld wat je gevonden hebt en hoe ze het eventueel op kunnen lossen (en daar bedoel ik niet mee dat ze jou kunnen inhuren voor een X bedrag).
01-03-2012, 13:50 door Anoniem
ik kan je absoluut niet aanraden om te doen wat SirDice zegt; ik spreek uit ervaring.
Ik heb dit al enkele 100den keren gedaan

Greetingz,
Jacco
01-03-2012, 14:39 door DanielG
Bel/mail/sms Brenno de winter.
01-03-2012, 15:10 door SirDice
Door Anoniem: ik kan je absoluut niet aanraden om te doen wat SirDice zegt; ik spreek uit ervaring.
Ik heb dit al enkele 100den keren gedaan
Wat ging er mis dan? Ik heb nooit problemen ondervonden.
01-03-2012, 15:23 door Anoniem
Als het "per toeval is" dan heb je niets te vrezen (stel je heet Joris van 't Hoogt en de webwinkel struikelt over de '). Anders heb je je schuldig gemaakt aan computervredebreuk. Itt Jacco boven schrijft zijn journalisten slechts tot zekere hoogte beschermd bij het overtreden van de wet. Heb je bv een deel van de bezoekersdatabase gedownload, dan is er geen redden meer aan, tenzij je slachtoffer coulant is.
01-03-2012, 15:45 door Anoniem
Gewoon de hele database leegtrekken en op pastebin knallen, we leven in 2012 hè mensen. Oja, vergeet er niet 'Anonymous' onder te zetten ;).
01-03-2012, 16:27 door Anoniem
Same hier, brenno is een onetische lul die ze maar weinig tijd geeft om te fixen :)
Hij doet alles om zijn epeen groot genoeg te krijgen :)

Van de 50 lekken die ik gemeld heb bij verschillende instanties van overheid tot 5k+ werknemers, er is altijd goed gereageerd. Als jij gewoon duidelijk maakt dat jij een lek gevonden heb en hun de impact / risico aangeeft van dat lek waarbij je een kleine PoC geeft doen ze vaak niet moeilijk.

Kijk bijvoorbeeld bij een xss is een "> al genoeg om de sequence te breken je hoeft niet een hele iframe met stealer te implementeren. Same for SQLi en RCE/LFI
Je moet enkel de juiste ingangen weten zoals cert@ csirt@ abuse@ of desnoods noc@

Door de manier waarop brenno publiceert krijgen alle etische mensen gezeik.
01-03-2012, 16:59 door Anoniem
van een steen door mijn voorruit to dreigementen dat als ik met het verhaal naar de media zou gaan ik de rest van mijn leven in de rechtbank zou zitten.

Of dat de beheerder van het ene ministerie je belt dat ik beter 'een pas op de plaat' kan doen omdat een ander ministerie probeerd me er voor te laten vervolgen; als ik de minister daar niet op had aangeschreven adn hadden ze dat gedaan.


zo heb ik nog wel een tiental voorbeelden die een hele goede rede zijn om het niet te doen

Greetingz,
Jacco
01-03-2012, 17:23 door SirDice
Door Anoniem: van een steen door mijn voorruit to dreigementen dat als ik met het verhaal naar de media zou gaan ik de rest van mijn leven in de rechtbank zou zitten.

Of dat de beheerder van het ene ministerie je belt dat ik beter 'een pas op de plaat' kan doen omdat een ander ministerie probeerd me er voor te laten vervolgen; als ik de minister daar niet op had aangeschreven adn hadden ze dat gedaan.

zo heb ik nog wel een tiental voorbeelden die een hele goede rede zijn om het niet te doen
Ik denk dat het toch vooral te maken heeft met de manier van brengen. Als je zelf dreigementen uit (door bijvoorbeeld te stellen dat je de 'gevonden' data openbaart als er niets gebeurd) zet je vaak kwaad bloed.

Gewoon puur en alleen het probleem benoemen en een (mogelijke) oplossing geven. Meer niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.