![[HaBo]](/styles/default/logoklein.png){kind=small}
Hallo zusammen,
bevor der Titel möglicherweise gewisse User irritiert:
Nein, ich plane keinesfalls einen Angriff auf eine Regierungsseite!
Im vollkommenen Gegenteil. Ich habe eine ungesicherte Variable entdeckt,
die auf die bekannte und gefährliche Möglichkeit einer
SQL Injection hinweist. Ich habe auch einige kleine Versuche durchgeführt wollte und werde aber unter keinen Umständen weiter darin eindringen.
Momentan arbeite ich für 2 "kleine" Unternehmen und helfe bei der Beseitigung von Sicherheitslücken, da bei den beiden die Scripts sehr veraltet sind.
Bei beiden fing die Geschichte gleich an, ich suchte nach kleinen Lücken (erst eine) und meldete diese.
Anschließend fragte ich nach der Erlaubnis weiterzusuchen und bekam diese auch.
Ich versprach aber immer (auch im neuen Fall), dass ich jegliches Wissen für mich behalte
und unter keinen Umständen an Dritte "Interessierte" weitere Infos vergebe.
Dass aber nun eine Regierungsseite solche
Lücken aufweist schockt mich schon. Wie würdet ihr als Webmaster reagieren, wenn jemand euch auf solche Lücken hinweist? Ich habe eine Email geschrieben, in der ich nach einer Email der Technikabteilung gefragt habe. Nun mache ich mir Sorgen, dass man meine Anfrage u.U. falsch versteht und mich eines Angriffs verdächtigt. Sollte man Sicherheitslücken melden oder ist das schon illegal wenn man sozusagen nur über das Wissen verfügt, dass eine existiert? Ich habe mich im Internet etwas erkundigt, da ich aber gesehen habe, dass hier viele Webmaster unterwegs sind, würde ich gerne nach eurer Meinung fragen. Zwar ist das für die Webmaster hilfreich aber andererseits kanns auch störend sein, wenn man erfährt, dass ein Nutzer ausserhalb seines vorgesehenen Bereiches arbeitet. Ich danke für jegliche Antworten!
bevor der Titel möglicherweise gewisse User irritiert:
Nein, ich plane keinesfalls einen Angriff auf eine Regierungsseite!
Im vollkommenen Gegenteil. Ich habe eine ungesicherte Variable entdeckt,
die auf die bekannte und gefährliche Möglichkeit einer
SQL Injection hinweist. Ich habe auch einige kleine Versuche durchgeführt wollte und werde aber unter keinen Umständen weiter darin eindringen.
Momentan arbeite ich für 2 "kleine" Unternehmen und helfe bei der Beseitigung von Sicherheitslücken, da bei den beiden die Scripts sehr veraltet sind.
Bei beiden fing die Geschichte gleich an, ich suchte nach kleinen Lücken (erst eine) und meldete diese.
Anschließend fragte ich nach der Erlaubnis weiterzusuchen und bekam diese auch.
Ich versprach aber immer (auch im neuen Fall), dass ich jegliches Wissen für mich behalte
und unter keinen Umständen an Dritte "Interessierte" weitere Infos vergebe.
Dass aber nun eine Regierungsseite solche
Lücken aufweist schockt mich schon. Wie würdet ihr als Webmaster reagieren, wenn jemand euch auf solche Lücken hinweist? Ich habe eine Email geschrieben, in der ich nach einer Email der Technikabteilung gefragt habe. Nun mache ich mir Sorgen, dass man meine Anfrage u.U. falsch versteht und mich eines Angriffs verdächtigt. Sollte man Sicherheitslücken melden oder ist das schon illegal wenn man sozusagen nur über das Wissen verfügt, dass eine existiert? Ich habe mich im Internet etwas erkundigt, da ich aber gesehen habe, dass hier viele Webmaster unterwegs sind, würde ich gerne nach eurer Meinung fragen. Zwar ist das für die Webmaster hilfreich aber andererseits kanns auch störend sein, wenn man erfährt, dass ein Nutzer ausserhalb seines vorgesehenen Bereiches arbeitet. Ich danke für jegliche Antworten!
