Znalezienie błędu w skrypcie

Znalezienie błędu w skrypcie, kogo powiadomić, czy można żądać wynagrodzenia

phpion Zobacz profil	18.06.2013, 11:38:22 Post #1
Grupa: Moderatorzy Postów: 6 072 Pomógł: 861 Dołączył: 10.12.2003 Skąd: Dąbrowa Górnicza	Witam, aktualnie mam styczność z pewnym skryptem, który jest masowo sprzedawany m.in. na Allegro. Przypadkowo w kodzie trafiłem na oznakę, że możliwe byłoby przejęcie praw administracyjnych nad serwisem przez dowolnego użytkownika. Sprawdziłem na testowym serwisie przy którym pracuję - faktycznie (IMG:style_emoticons/default/smile.gif) Moje pytanie: kogo mam o tym fakcie powiadomić? Z jednej strony mógłbym firmę X, która napisała system. Z drugiej strony - mogę powiadamiać bezpośrednio serwisy, które stoją na tym skrypcie. Jak wygląda to od strony prawnej? Czy mogę żądać wynagrodzenia za udostępnienie informacji o błędzie (autorowi skryptu) lub naprawę dziury (serwisom)? Pozdrawiam, pion PS: Kojarzy mi się, że był już podobny wątek, ale wyszukiwarka odmawia posłuszeństwa.

Odpowiedzi

nospor Zobacz profil	19.06.2013, 13:55:04 Post #2
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004	@pyro jeśli dobrze Cię zrozumiałem to mogę legalnie i bezkarnie napisać: Skrypt X firmy Y jest podatny na atak SQLInjection. Na potwierdzenie moich słów proszę wejść na stronę Z i tu i tu wpisać taki ciąg znaków. Dobrze zrozumiałem? I nawet jeśli każdy w tym momencie będzie mógł pobrać praktycznie dowolne dane z bazy, na której stoi skrypt, to nadal ja za to nie beknę? Jakoś nie chce mi się w to wierzyć, musiałem Cię źle zrozumieć (IMG:style_emoticons/default/smile.gif)

pyro Zobacz profil	19.06.2013, 14:01:18 Post #3
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	Cytat(nospor @ 19.06.2013, 14:55:04 ) @pyro jeśli dobrze Cię zrozumiałem to mogę legalnie i bezkarnie napisać: Skrypt X firmy Y jest podatny na atak SQLInjection. Na potwierdzenie moich słów proszę wejść na stronę Z i tu i tu wpisać taki ciąg znaków. Tego na czerwono nie możesz napisać. Namawiasz ludzi do ataku na cudzą stronę (IMG:style_emoticons/default/tongue.gif) Zajrzyj na exploit-db.com i zobacz jak ludzie piszą. Przykładowo: Kod Acme Script <= 1.5 SQL Injection Vulnerability Exploit: http://xyz.com/profile.php?id=[sql]

Posty w temacie

phpion Znalezienie błędu w skrypcie 18.06.2013, 11:38:22

Damonsson Jeśli to poważne firmy, oferuj usługę audytu bezpi... 18.06.2013, 11:59:03

phpion Sądząc po kodzie to raczej nie są to zawodowcy Po... 18.06.2013, 12:03:31

pyro Cześć. To jest trochę gra na loterii. Zależy na k... 18.06.2013, 12:04:23

!*! Jeśli nie jest to skrypt marki gimnazjumPRO, to wy... 18.06.2013, 12:04:47

nospor CytatZaczęli mnie straszyć sądem i policją pod zar... 18.06.2013, 12:13:15

phpion W jakieś audyty tego skryptu nie mam czasu/ochoty ... 18.06.2013, 12:36:02

m44 Pytanie, czy jak ktoś sprzedaje lub kupuje skrypt ... 18.06.2013, 14:19:17

phpion Skrypt nie kosztuje kilku zł, a nieco więcej, nie ... 18.06.2013, 14:26:43

memory Czy to nie ten słynny skrypt co opisywał nospor? 18.06.2013, 14:48:55

Mackos Ogółem polecam przeczytać artykuł na niebezpieczni... 18.06.2013, 15:09:34

O$iek Ja bym sobie odpuścił, bo możesz mieć z tego tylko... 18.06.2013, 15:34:06

phpion Między mną, a przypadkiem opisanym pod podanym lin... 18.06.2013, 19:03:41

b4rt3kk Cytat(phpion @ 18.06.2013, 20:03:41 )... 19.06.2013, 08:31:48

phpion Dlaczego szantażyście? Nikogo przecież nie zmuszę ... 19.06.2013, 09:31:06

!*! @phpion - to już jest taka narodowa mentalność, je... 19.06.2013, 10:13:14

phpion Cytat(!*! @ 19.06.2013, 11:13... 19.06.2013, 10:24:43

b4rt3kk No wiesz, chodzi mi o to, że od razu proponujesz, ... 19.06.2013, 10:19:49

b4rt3kk No to jak uważasz, tyle że zapewne klient owej fir... 19.06.2013, 10:44:30

phpion Autorowi skryptu również zaproponuję informację o ... 19.06.2013, 10:56:07

b4rt3kk A możesz zdradzić tak ogólnie do czego ten skrypt ... 19.06.2013, 11:17:41

!*! Jak skończysz, podaj info jaki to skrypt i jaka to... 19.06.2013, 11:19:27

phpion Z różnych powodów wolałbym nie zdradzać co to za s... 19.06.2013, 11:20:15

O$iek Nie zdziwiłbym się jakby chodziło o jakiś serwis o... 19.06.2013, 11:26:27

Damonsson Pewnie chodzi o to http://allegro.pl/portal-intern... 19.06.2013, 12:10:39

nospor Cytat(Damonsson @ 19.06.2013, 13:10:3... 19.06.2013, 12:26:12

memory Cytat(Damonsson @ 19.06.2013, 13:10:3... 19.06.2013, 17:21:17

b4rt3kk Zwłaszcza grafika tych stron wydaje się taka topor... 19.06.2013, 12:30:23

nospor edit: no właśnie, a jak prawnie wyglądałaby sprawa... 19.06.2013, 12:30:38

phpion @nospor: Najlepiej zapytać na forum prawniczym. Ni... 19.06.2013, 12:42:45

b4rt3kk Cytat(phpion @ 19.06.2013, 13:42:45 )... 19.06.2013, 12:48:07

nospor @bartek moje pytanie: no właśnie, a jak prawnie wy... 19.06.2013, 13:08:36

pyro Cześć, Odkryte błędy możesz normalnie publikować.... 19.06.2013, 13:49:18

nospor @pyro jeśli dobrze Cię zrozumiałem to mogę legalni... 19.06.2013, 13:55:04

pyro Cytat(nospor @ 19.06.2013, 14:55:04 )... 19.06.2013, 14:01:18

nospor Czyli mogę jedynie napisać: Skrypt X firmy Y jest ... 19.06.2013, 14:07:35

b4rt3kk Cytat(nospor @ 19.06.2013, 15:07:35 )... 19.06.2013, 14:18:53

pyro Jeżeli nie skłamałeś i luka istnieje to w jaki spo... 19.06.2013, 14:08:41

nospor No zaraz napiszą, że to nie prawda, że kłamca a ja... 19.06.2013, 14:12:18

pyro @nospor, nie rozumiem o jakim przypadku teraz mówi... 19.06.2013, 14:14:31

!*! @nospor - to zawsze wygląda tak samo. 1. odkryci... 19.06.2013, 14:34:12

Spawnm A co byście zrobili z sytuacją gdzie po kontakcie ... 19.06.2013, 14:55:10

com W zasadzie to wszystko zależy od tego na kogo traf... 19.06.2013, 15:03:23

Spawnm No właśnie dwa serwisy są bardzo syte jeśli chodzi... 19.06.2013, 15:42:33

solificati Cytat(Spawnm @ 19.06.2013, 16:42:33 )... 19.06.2013, 16:53:55

b4rt3kk Cytat(nospor @ 19.06.2013, 14:08:36 )... 19.06.2013, 17:59:48

nospor Cytat@nospor, nie rozumiem o jakim przypadku teraz... 20.06.2013, 08:31:09

pyro Tak pół tematem: Kiedyś ktoś w kodzie chyba że tak... 20.06.2013, 08:39:17

!*! @pyro i jak to się skończyło? Jak ktoś grozi polic... 20.06.2013, 09:15:32

pyro Cytat(!*! @ 20.06.2013, 10:15... 20.06.2013, 09:31:58

b4rt3kk Cytat(pyro @ 20.06.2013, 10:31:58 ) P... 20.06.2013, 09:37:50

!*! Cytat(b4rt3kk @ 20.06.2013, 10:37:50 ... 20.06.2013, 09:42:49

pyro Cytat(b4rt3kk @ 20.06.2013, 10:37:50 ... 20.06.2013, 09:50:23

b4rt3kk Cytat(pyro @ 20.06.2013, 10:50:23 ) N... 20.06.2013, 09:54:39

pyro @b4rt3kk, chyba nie mamy o czym gadać. Raczej tylk... 20.06.2013, 09:55:31

phpion Witam ponownie. Aktualnie sprawa wygląda tak: sko... 24.06.2013, 10:04:30

mar1aczi Cytat(phpion @ 24.06.2013, 11:04:30 )... 24.06.2013, 10:39:55

phpion Tak, zgadza się. Chodzi mi jednak o to czy jeśli t... 24.06.2013, 10:42:13

memory phpion - tak. Mało prawdopodobne, że zarobisz. Pie... 24.06.2013, 10:59:12

red.orel Błąd może występować, nie musi. Aktualnie posiadas... 24.06.2013, 11:00:32

Daiquiri Memory, na czym opierasz wniosek iż będzie to pomó... 24.06.2013, 11:23:28

phpion Też mi się wydaje, że nikt raczej nie będzie mógł ... 24.06.2013, 11:28:13

Daiquiri Miałam na myśli to, czy licencja pozwala klientom ... 24.06.2013, 11:39:52

phpion A czy licencja musi na to pozwalać? Na pewno pozwa... 24.06.2013, 12:00:59

memory Daiquiri - jeżeli przeprowadzi audyt na życzenie k... 24.06.2013, 12:39:26

Daiquiri Cytat(phpion @ 24.06.2013, 13:00:59 )... 24.06.2013, 14:00:56

« Następny starszy · Hydepark · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl