Seite 3 von 4 ErsteErste 1234 LetzteLetzte
Ergebnis 21 bis 30 von 32

Thema: VMS Forum

  1. #21
    Erfahrener Benutzer
    Registriert seit
    22.07.2006
    Beiträge
    272
    Zitat Zitat von Pauli1990 Beitrag anzeigen
    Und falls ich ein " mache Heißt das was? Ich lese damit nix aus ich seh nur Addon von Drecks Klamm programmieren verfuscht oder Addon i.o

    Kein Angriff in die Db.!!
    Du provozierst damit eine vom Programmierer nicht beabsichtigte Reaktion des Scripts (Abbruch von Querys, etc.) und wie gehen Angreifer vor?
    Richtig, die versuchen ein fehl Verhalten des Scripts zu Provozieren also genau das selbe wie du mit dem z.Bsp.: " machst. Das ist als Teil eines Angriffs zu werten (Ausspähen von möglichen Lücken)
    Nur mit dem " kannst du (wenn display_errors=on gesetzt ist) schon etwas über die Verzeichnisstruktur, interne Dateinamen sowie Zeilennummer erfahren wo der Fehler aufgetreten ist. Wichtige Informationen für einen Angriff.
    Das selbe kann man im schlechtesten Fall auch erreichen wenn man nur einen einzelnen Buchstaben an einen Parameter übergibt wo nur Zahlen erwartet werden. Je nach Funktion könnte das z.Bsp.: zu einem: division by zero in (hier der Pfad) Line ... führen.

    Das kann (sofern du keine Erlaubnis dafür hast) durchaus als Angriff gewertet und entsprechend verfolgt werden.

    Also tu dir selber den Gefallen: Wenn du Lust verspürst irgendeine Seite zu prüfen (egal wie Umfangreich) Frage Grundsätzlich IMMER! nach ob du das darfst (und halte dich bei einem nein auch daran).

  2. #22
    Zitat Zitat von Pauli1990 Beitrag anzeigen
    Wenn man durch ein " wie du sagst Querys abfängt/abbricht, dann hat die Seite ganz andere Probleme
    Tja, du aber auch sofern es der Betreiber darauf anlegt.


  3. #23
    Erfahrener Benutzer
    Registriert seit
    10.11.2009
    Beiträge
    182
    Wie ich vorgehe => Ich teste => Gebe den Webmaster bescheid.

    Kein Angriff!

  4. #24
    Erfahrener Benutzer
    Registriert seit
    22.07.2006
    Beiträge
    272
    Hinterher bescheid geben ist zu spät, da ist der Angriff (von dir als testen Bezeichnet) schon gelaufen...

  5. #25
    Erfahrener Benutzer
    Registriert seit
    10.11.2009
    Beiträge
    182
    Testen = versuchen zugriff auf Db/Webspace erlangen

    Ich schaue nur ob vill möglich ist kann mich ja irren weitere schritte gehe ich net erst nachdem der Webbi sagt ok teste

  6. #26
    Erfahrener Benutzer
    Registriert seit
    22.07.2006
    Beiträge
    272
    Dazu reicht ein einfacher Aufruf der Seite wie es vorgesehen ist, eine Änderung der Parameter ist dafür nicht nötig.

  7. #27
    Erfahrener Benutzer
    Registriert seit
    10.11.2009
    Beiträge
    182
    Ich arbeite mit anderen Techniken

    Nein aufruf reicht nicht, da du nicht siehst wie die Seite reagiert, glaub mit mein Lieber mir musst du davon nix erzählen

  8. #28
    Erfahrener Benutzer
    Registriert seit
    22.07.2006
    Beiträge
    272
    Um zu testen ob DB / Webspace erreichbar ist reicht ein simpler Aufruf.

    Übergibst du an die Seite ohne VORHER eine Genehmigung einzuholen irgendwelche Parameter die nicht vorgesehen sind begehst du eine Straftat die verfolgt / geahndet werden kann.
    Mit deiner Mitteilung hinterher machst du es einer Strafverfolgung nur einfacher, änderst aber nichts mehr an den Straftatbestand.

    Da brauchst du nicht weiter versuchen dich mit "anderen Techniken", etc. raus zu reden. Das ist so und da du da scheinbar nicht glauben willst nochmal mein Rat dazu:

    Lass dich vernünftig rechtlich in dem Punkt beraten. Du wirst da nichts anderes zu hören bekommen.

  9. #29
    Erfahrener Benutzer Avatar von Hardy
    Registriert seit
    24.01.2007
    Beiträge
    2.235
    Zitat Zitat von Pauli1990 Beitrag anzeigen
    Wie ich vorgehe => Ich teste => Gebe den Webmaster bescheid.

    Kein Angriff!
    und nebenbei lose erpressen?
    http://designerscripte.net/showthread.php?t=13234

    Zitat aus einer PN die ich erhalten habe, absender anonymisiert:
    Moin,

    vor ein paar Tagen hat dich doch mal ein User informiert, dass es angeblich eine Sicherheitslücke bei dir gab.
    Jener User droht mir damit, mögliche lücken auszunutzen.
    Mir wichtig zu erfahren, welche das waren, damit ich Maßnahmen treffen kann.

    Vielen Dank.

    LG
    Tut mir leid aber was du hier abziehst ist echt unter aller kanone!

    Ich bin ja besagter Progger des Forums und möchte mich hiermit auch bei jpwfour für das schnelle fixen bedanken, und ja, mir ist bei diesen Addon ein fehler unterlaufen, aber schau mal wieviel zeilen code das sind, dort ein einfaches int() zu vergessen kann durchaus mal passieren. Sowas passiert auch den besten Progger denn so doof das klingt eine gewisse Fehlerquote beim Programmieren ist Menschlich, ja selbst ebay hat schon Sicherheitslücken gehabt und einen 100 % Schutz gibt es eh NIE, denn wer eine Lücke finden will und es auch drauf hat (mit dem hacken) findet auch eine.
    Aber ich möchte zu meinen Fehlern stehen und ich hoffe Sie werden mir verziehen.

    Du hingegen.....
    ......tut mir leid da fällt mir nix ein.
    Für mich bist du einfach nur ne arme Wurst.
    Was ist mir dir? Hast du von deinen großen Bruder gezeigt bekommen wie man nen SQL Injection macht und willst jetzt hier damit Angst und Schrecken verbreiten?

    Wenn du tatsächlich nur testen und Webmaster bescheid sagen willst dann will ich ja noch nichtmal etwas dagegen sagen aber User zu erpressen die vielleicht nicht soviel Ahnung von SQL Injection und der vorbeugung haben ist einfach nur scharmlos und in meinen Augen gehörst du dafür hier gesperrt inklusive der Entziehung des Nutzungsrechtes für das VMS!

  10. #30
    Erfahrener Benutzer
    Registriert seit
    10.11.2009
    Beiträge
    182
    1. Link => Service, muss keiner beanspruchen, dann folgt kein Check erpressung ist das nicht.

    2. Der User wird nicht von mir sprechen, da ich sowas nich tue!

Seite 3 von 4 ErsteErste 1234 LetzteLetzte

Ähnliche Themen

  1. forum etc.
    Von Gabriel im Forum Weiterentwicklung Basisscript
    Antworten: 8
    Letzter Beitrag: 17.07.2013, 13:36
  2. Forum für das VMS
    Von isaack im Forum Scripte
    Antworten: 2
    Letzter Beitrag: 03.06.2010, 15:02
  3. Forum
    Von seg98 im Forum Support zum VMSone
    Antworten: 2
    Letzter Beitrag: 23.10.2008, 19:23
  4. RTL Forum
    Von sebi-home im Forum Non VMS Seiten
    Antworten: 1
    Letzter Beitrag: 01.07.2008, 17:34
  5. FakerHunter Forum
    Von DimpleX im Forum Talk, talk, talk...
    Antworten: 0
    Letzter Beitrag: 18.10.2007, 21:08

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •