Uneinsichtige Seitenbetreiber im Bezug auf Lücken

X

Xalon

0
Hi,
ich wollte mal Fragen ob ihr sowas kennt:
Also viele meiner Freunde sind auf so nem "Online-Jugendportal" (was genau will ich nicht sagen weil noch Lücken bestehen).
Naja also bin ich auch mal auf die Seite aber nicht um dort irgendwie zu Chaten oder so sondern um nach Lücken zu suchen ;)
Nach 20min ungefähr hab ich auch 2 XSS Lücken gefunden,ein Exploit geschreiben bei dem ein Opfer nur noch auf meine Seite gehen muss und schon hab ich alle
Privaten Nachrichten und den Cookie.Darauf hin hab ich den Betreibern ne Mail geschickt,sogar mit Video vom Hack.
Und was war?Die Lücke (nur eine von 2,hrhr) wurde behoben,ohne ein Danke oder sonstwas X(
Aufjedenfall wissen sie das es noch eine Lücke gibt,von mir,aber welche genau wissen sie nicht.
Das ist jetzt 1 Monat her und sie existiert immer noch,mit Exploit wie oben
beschrieben...
Obwohl es ein SEHR Großes Portal ist,in Version 3,mit immer mindestens 2000 Usern ONLINE
kümmert sie die Lücke wohl nicht,obwohl sie damit (30 Leute-Team) ihr Geld verdienen,mit Werbung etc.
Und,nennt mich egoistisch oder so,ICH werde ihnen die anderen Lücke auch nicht sagen,und ich denke bei 1ner anderen Lücke würde
es eh nicht bleiben,aber wenn man nicht mal ein Danke oder so zurückschreibt hat mans nicht anders verdient :rolleyes:
Und das ist nur ein Beispiel...auf 10 Mails die auf Lücken hinweisen kommen viellelicht 2x ein Danke zurück,und 1x ein "Was soll das du *******,ich zeig dich an" 8o
Naja,kennt ihr sowas auch?Und wie würdet ihr auf so einen Hinweis reagieren?

Xalon
 
Als ich einmal Sicherheitslücken einigen Admins beschrieben habe waren sie sehr froh und ich hatte noch eine ganze Zeit Kontakt zu ihnen, wegen Beheben der Sicherheitslücken. Man muss nur sachlich bleiben und das Problem genau schildern, damit es auch der "dümmste Admin" versteht, was der Bug genau macht.
Natürlich gibt es auch so undankbaren Leute, wie du es gerade beschrieben hast. Die würde ich einfach ignorieren und mit ihren Sicherheitslücken leben lassen.

Man kann aber auch so etwas machen:
Wenn zum Beispiel jemand einen FTP-Server programmiert, du eine Sicherheitslücke in ihm findest, du dem Admin schreibst, daß er eine Sicherheitslücke im FTP-Server übersehen hat und er den Bug nicht beheben will, prüfe nach ob er von vielen Usern verwendet wird. Wenn ja, poste es auf Securityfocus und Co. Dann kennt jeder den Bug und er muss ihn beheben, ansonsten benutzen den Server immer weniger. :D
 
Derjenige welcher den FTP schreibt, ist nicht der Admin, sondern der Programmierer, und er wird den Bug fixen...wobei ich nicht glaube das noch jemand so irre ist und nen FTP Server schreibt...
 
Original von schmidtl_dd
Derjenige welcher den FTP schreibt, ist nicht der Admin, sondern der Programmierer, und er wird den Bug fixen...wobei ich nicht glaube das noch jemand so irre ist und nen FTP Server schreibt...
Zum Vergrößern anklicken....

Naja CDW hat ja auch nen Webserver in Asm geschrieben o_O

Xalon
 
Ich verstehe nicht wirklich was du meinst.
Es gibt da Leute die was entwicklen und admins. Der admin wird herzlich wenig dafür können was die Herren WebSite frickler da zusammenschustern. Abgesehen von den Fehlkonfigurationen.
Du hast die Leute informiert. Und nun kommt nichts? Na und? Wen interessierts?

Also entweder nutzt du das dann aus, oder du schickst eine genaue Beschreibung- wenns ein Bug in einer SW ist kannste ja auch was an die grossen Archive schicken und dich freuen das dein Name unter so einem bloeden xss Exploit steht oder du freust dich im stillen Kaemmerlein darueber dass du koenntest- wenn du willst.

Und wenn du schon selbsternanner Robin-Hood der XSS Bugs spielen willst- finde dich damit ab dass die Leute es nicht danken- fuer die bist du nur ein Typ der in ihren Systemen nach Dreck wuehlt.

mfg
 
dass die lücke nicht geschlossen wird, zeigt was für ein katastrophales sicherheitsbewusstein manche leute haben. völlig unverständlich, gerade bei einem größeren und kommerziellen projekt wie du es beschreibst.
ich selbst habe mit solchen leuten nicht viel erfahrung, weil ich meine zeit auch nicht damit verbringe nach sicherheitslücken zu suchen. bin nur einmal zufällig bei einem zusätzlichen eingebauten script in einem forum auf ne sql-injection lücke gestoßen. habs dem admin mitgeteilt und ihm erklärt wie er die lücke beseitigen kann und er hat sich auch nett bedankt.

ein kleines danke ist auf jedenfall angebracht. die leute die sich sogar beschweren und agressiv werden, haben jedenfalls mal gar nichts begriffen.
 
Doch die Lücken werden behoben,aber nur wenn ich ihnen genau erkläre WO sie sind...
Aber selbst danach suchen tun sie nicht,obwohl sie wissen das es noch min 1 gibt.

Xalon
 
Was willst du jetzt genau?

Ätsch bätsch ich weiß es aber sags nicht? Meinst du die haben nichts anderes zu tun als nach einer Sicherheitslücke zu suchen die ÜBERALL sein könnte nur weil es ihnen irgendein Typ per Mail mitgeteilt hatt? ;)
 
Original von Xalon
Doch die Lücken werden behoben,aber nur wenn ich ihnen genau erkläre WO sie sind...
Aber selbst danach suchen tun sie nicht,obwohl sie wissen das es noch min 1 gibt.
Zum Vergrößern anklicken....
achso, dann habe ich dich falsch verstanden. vielleicht suchen sie ja nach der lücke aber finden sie nicht.
auf jedenfall ist es albern von dir zu sagen, dass es eine lücke gibt aber nicht zu erklären wo genau sie ist. was bringt dir das?
 
Original von Eszterle
Original von ivegotmail
auf jedenfall ist es albern von dir zu sagen, dass es eine lücke gibt aber nicht zu erklären wo genau sie ist. was bringt dir das?
Zum Vergrößern anklicken....

Exactly. Das meinte ich. ;)
Zum Vergrößern anklicken....

Bei der ersten hat er das ja gemacht. Ich denke mal, dass er das als Rache für das nicht erhaltene Danke macht, was ich aber trotzdem sinnlos finde.
 
Hallo Xalon,

du sprichst einen Punkt an, der auch auf dem 22C3 (CCC-Congress) sehr mit argwohnt beobachtet wurde.
Es ist halt nichtmehr so, dass man mit Dankbarkeit überhäuft wird, wenn man in irgendeiner Software einen Bug findet, und diesen erstmal an die entsprechende Firma sendet.

Lieber werden die Bugs totgeschwiegen, und die bösen bösen Hacker dann auch gleich verklagt, oder ruhiggehalten, denn man hat ja nichts in fremden Systemen und in fremder Software zu suchen, lieber verklagen wir dann den ach so bösen Hacker gleich noch, weil er ja böse ist.

Das stößt auch mir sehr auf, aber ändern kann man da zur Zeit nicht wirklich etwas dran.

Zu deinem Verhalten: es sieht so aus, als hättest du dir Dankesüberschüttungen erhofft, und als du sie nicht bekommen hast, dachtest du dir, "Mache ich denen mal Arbeit, in dem ich keine Step by Step Anleitung für den 2. (und sicher auch nicht letzten :) ) Bug gebe". Das diese lieben Admins und Coder sich nicht die Mühe machen, frustriert dich nun, aber warum ?
Wenn es dich erfreut, Poste den Bug auf Full-Disclosure oder Bugtraq und warte 5 minuten bis ein Kiddie deren Seite zerschiesst ... wenn dich das dann Glückmich macht ?(

Fazit: Du solltest dich entweder mit diesem Thema beschäftigen, weil es _dir_ etwas bringt und du daran interessiert bist, oder es lassen, denn Ruhm kann man damit einfach nicht (mehr ?) ernten.

just my 2 cents,
sirphreak
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben