Melden van injections

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Michel W

Michel W

29/03/2012 22:20:14
Quote Anchor link
Beste php-ers,

Jullie hebben het vast allemaal wel eens meegemaakt, je komt een website tegen waar het barst van de lekken.

Hoe zou je het beste dan dat bedrijf op de hoogte kunnen stellen? Ik heb geen kwaad in de zin, maar ik wil ook niet dat ze mij gaan vervolgen wegens "hacken".

Heeft iemand een idee hoe hiermee om gegaan moet worden?

groeten
 
PHP hulp

PHP hulp

27/12/2024 15:18:56
 
Sevvlor S

Sevvlor S

29/03/2012 22:24:44
Quote Anchor link
Het enige wat ik man zeggen dat je door bijv een kapotte url een lek bent tegen gekomen
 
Michel W

Michel W

29/03/2012 22:26:04
Quote Anchor link
naja kapot... 'OR 1=1 haha
 
Wouter J

Wouter J

29/03/2012 22:26:28
Quote Anchor link
Sevvlor, ik begrijp niks van wat je nu zegt.

Michel, ik zou een mailtje sturen en daarin het gewoon goed, rustig en uitgebreid uitleggen. Ze zullen het dan hopelijk wel begrijpen.
 
Sevvlor S

Sevvlor S

29/03/2012 22:27:25
Quote Anchor link
Of via een proxy doen, ik geloof dat er nog meer opties zijn, bijv via een anonieme brief.

Klokkenluiders worden meestal wel beschermd.
 
- Ariën  -
Beheerder

- Ariën -

29/03/2012 22:27:34
Quote Anchor link
Ik zou er zeker geen misbruik van maken, en ze direct erop attenderen.

Dit heb ik ook eens gedaan toen ik merkte dat ik via SQL-injection de site van een regionale omroep binnen kon komen. Ik had een screenshot gemaakt van de database structuur (niet de items), en direct gebeld. ICT-beheer belde me 20 minuten later terug, en per mail heb ik het bewijs en de stappen uitgelegd hoe ik dit heb gedaan.

De beste meneer was erg blij dat ik dit gemeld had waarna ik gepast werd beloond.

Dus, niks aanpassen en niet teveel data binnenhalen, dat wekt de beste vertrouwen op, mochten ze later de logs eens bekijken. Als je de databasestructuur al kan zien is de kans aannemelijk dat je ook de data op kan halen, en dat boeide me niet.

Verder kan je altijd zeggen dat je gewoon programmeur bent, wat je tenslotte ook bent. Zeg nou niet dat je 'hacker' bent... ;-)
Gewijzigd op 29/03/2012 22:29:25 door - Ariën -
 
- Raoul -

- Raoul -

29/03/2012 22:28:30
Quote Anchor link
@Wouter: Hij bedoelt dat als hij vervolgd word, nog steeds kan zeggen dat hij per ongeluk op een kapotte URL heeft geklikt en zo het lek ontdekte.

Dan nu weer tot de orde: ik zou gewoon even het bedrijf contacteren via mail - wie weet, krijg je nog wel een beloning.
 
Michel W

Michel W

29/03/2012 22:29:44
Quote Anchor link
naja ik heb verder ook geen data bekeken (kon inloggen) en had dus eigenlijk overal toegang tot...

Een brief vind ik dat weer te riskant omdat die ook overal behalve op het juiste adres aan kan komen.. :(
 
- Ariën  -
Beheerder

- Ariën -

29/03/2012 22:30:33
Quote Anchor link
Zo kreeg ik een Bol.com cadeaubon en een promopakket met stikkers, flyers, portomonee, radio, poncho... :-)

Beste is om direct te bellen en te vragen naar afdeling systeembeheer. Anders zit je bij een miep die het door zal geven waarna het op een grote stapel komt.
Hoe sneller hoe beter....
Is dat niet mogelijk, vraag even of de beste miep direct even hun wil vragen om hen met spoed naar jouw terug te laten bellen.

Als er niet gereageerd wordt, tja, dan is het een ander verhaal. Dan zou ik wel even de feiten onder de neus laten drukken bij de verantwoordelijke en zeggen dat je anders toch even naar de media stapt. Tweakers en Webwereld smullen er wel van....
Gewijzigd op 29/03/2012 22:35:20 door - Ariën -
 
Michel W

Michel W

29/03/2012 22:32:11
Quote Anchor link
-Aar- ik zal het eens proberen :)
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.