[Micke04]

Kan du inte låta oss på WN få tanka hem filmerna innan du berättar om säkerhetshålet ?

[Decibel]

För drygt ett år sedan satt jag och mailade ett par företag som hade lite trubbel med sql-injections, jag bara påpekade vad det var, och hur man löste det.

Det var min mest inkomstrika dag någonsin, jag hade inte ens krav på ersättning utan bara visade var, hur och lösning.
(var rätt livlig diskussion om detta i WN´s kanal på quakenet för er som minnns och fanns med på den tiden )

Ingen av dom jag mailade hade någon hotfull ton tillbaka utan var tacksamma över att man upplyste om problemet, vissa har dock ännu inte åtgärdat det.

Om nån ska polisanmäla måste det kunna styrkas att uppsåt till intrång finns, ett uppsåt är oftast vinning för "dig" och förlust för den som har sajten.
Att göra en if-sats i användarnamnsfältet för att se om det funkar vetefan om det är uppsåt (om man nu inte tänkt se på gratis film (om det nu är det saken handlar om)).

SF-anytime vet jag har lite knas med injections, eller åtminstone hade.

[Björn]

Det finns företag i staterna som sysslar med detta på heltid... att leka hackare o täppa till säkerhetshål... jag tror det finns en genuin hacka att tjäna i sverige om man är driftig och duktig på detta område.. Och seriös givetvis... det är värt stora pengar att komma till rätta med denna typ av problem...

[Bejjan]

Jag vet inte riktigt om det räknas som en SQL injection. Handlar egentligen bara om att skriva in rätt URL för att få all den info man behöver

Det känns ju föga olagligt. Men å andra sidan så har jag dålig koll på lagar osv.

[Oskar Lindgren]

Det är en lönade branch, jag har nog totalt fått ca 5000 kr för sådana hål, men också hot om anmälan. I de flesta fall var har det varit STORA företag som jag har hittat hålen hos, hos ett var det så stort att jag hade kunnat tömma deras server om jag så hade önskat... dom fick jag bara ett hot om polisanmäla av. <_<

[Marcus]

Citat:

Originally posted by Bejjan@Mar 5 2005, 23:09
Jag vet inte riktigt om det räknas som en SQL injection. Handlar egentligen bara om att skriva in rätt URL för att få all den info man behöver

Det känns ju föga olagligt. Men å andra sidan så har jag dålig koll på lagar osv.

Känns ju faktiskt som det gör större skada att -inte- berätta det. Händer det något större så börjar de förmodligen att titta igenom sina loggar. Hittar de ditt ip där är det ju kanske inte så bra.

[mypay]

Om företaget har info/data uppe publikt (räknas som publikt även om du chansar på en url som t.ex www.storfirma.se/~products/) så räknas det inte som intrång. Så om nu t.ex smsmovies.net har gjort en miss så att man kan se en film genom att knappa in URLen direkt till filmen (antar att det handlar om en sådan sida) så är det inget brottsligt att titta på dom

Men det är däremot sjysst att meddela dom om missen och så kanske man får en slant som tack för hjälpen

se det så här.. om det var din sida - skulle inte du uppskatta om någon tipsade dig om missen då?

[grazzy]

Lite OT för de som undrar hur/vad en SQL-injection är:
http://grazzy.mjoelkbar.net/hacking/newbie...ng_swedish.html

Lite lustigt är att en av webbplatserna som jag använde som exempel, verkar ha återuppstått (4-5 år senare) på arenan.org :-)

[Bejjan]

Citat:

Om företaget har info/data uppe publikt (räknas som publikt även om du chansar på en url som t.ex www.storfirma.se/~products/) så räknas det inte som intrång. Så om nu t.ex smsmovies.net har gjort en miss så att man kan se en film genom att knappa in URLen direkt till filmen (antar att det handlar om en sådan sida) så är det inget brottsligt att titta på dom

Roligt att du tog smsmovies.net som exempel då jag hittade just det felet på www.smsfilm.se.

Men just detta (teoretiska) exempel handlar om en serie url'er som man måste skriva in för att få tillgång till en film.

[mypay]

Spelar ingen roll.. då du inte måste sitta och knäcka lösenord (dvs begå ett riktigt intrång) så är det inte olagligt..

de kan alltså inte hota med polisanmälan etc om du skulle tipsa dom om det och kanske t.om då fråga om en viss ersättning