SQL injection, legalnosc Opcje

[cornholio666]

Witam,

Jezeli przykładowo na jakiejs dziurawej stronie wydobęde loginy i hasla uzytkowników poprzez sql injection to to juz jest niezgodne z prawem? Jeżeli powiadomie webmastera to moge ponieść jakies konsekwencje?

[bełdzio]

nielegalny dostęp = złamanie prawa ;-)

[nospor]

@cornholio666 a jesli ja spowodu dziury w scianie banku wyniose 100 tys. to juz jest niezgodne z prawem?

[SongoQ]

a jesli ja spowodu dziury w scianie banku wyniose 100 tys. to juz jest niezgodne z prawem?

A potrafisz?

1. Ze taka strona powinna byc dobrze zabezpieczona
2. To kazde dzialanie ktore ma na celu zniszczenie lub wykradzenie danych nie nalezacych do Ciebie jest wykroczeniem. Chociaz nieraz bledy sa tak drastyczne ze przez przypadek mozesz takie rzeczy wyciagnac.

[cornholio666]

Czyli lepiej nie informowac nikogo o dziurze bo mozna miec duzy problem... nawet jakby sie chciało dobrze

[nospor]

no ja tam nie wiem. Osobiscie jesli bym mial jakąs dziure w aplikacji i ty bys wydobyl mi hasla i loginy bo testowales moja aplikacje pod kątem tej dziury i zawiadomil mnie o tym to bym ci podziekowal za wykrycie dziury i mialbym duzą nadzieje, ze zapomnisz o tych loginach.

Dziure wykryles przez przypadek? Czy celowo sie wlamywales?

co do kwestii prawnej to sie nie wypowiadam. choc chyba SongoQ napisal ladnie jak to jest.

[cornholio666]

Celowo. Chcialem sprawdzić jedna firme tworząca strony www jak bardzo mozna jej zaufac, wszedlem na pierwszy lepszy ich projekt poszperalem a jak znalazłem mala dziure to wiadomo ciekawosc...

Chodziło mi o kwestje prawna bo w logach serwera informacje zostaja...

[Ace]

Coz...

Niektore firmy inaczej dzialaja Raczej grozby, sady za to ze probowales wykrasc ich informacje... Ale wiekszosc z tych spraw o ktore slyszalem konczyly sie inaczje, ze ludzie ktorzy znalezli dziury w sofcie, po takich grozbach przyjmowali pracownikow zeby zataic ten fakt.

Przyklad, moj kumpel mial dostep do hasel kazdego uzytkownika z GG...

Ja bym uwazal z takim informowaniem tych ludzi o bledzie. Z tego co wiem to odwrocila sie sytuacja, fakt faktem moj znajomy byl winien, bo jednak zsukal bledu, a z drugiej, firma nie moze stracic twarzy z powodu - Niezabezpieczenia danych osobowych kont osob ktore sa w ich systemie.

[shpyo]

Witam,

Jezeli przykładowo na jakiejs dziurawej stronie wydobęde loginy i hasla uzytkowników poprzez sql injection to to juz jest niezgodne z prawem? Jeżeli powiadomie webmastera to moge ponieść jakies konsekwencje?

Wyślij maila do tej firmy, że źle napisali program. Powiedz im co zmienić i jak. Przecież nie będą Cie ciągnąć po sądach za pomoc w ulepszeniu aplikacji, co nie?. Nikt o tym się nie dowie. Co innego jakbyś dał link do tej dziury gdzieś w sieci.

Jakiś czas temu bawiłem się w szukanie dziur. Zawsze kończyło się podziękowaniem. Raz mi nawet zaproponowali pracę .

[Radarek]

@cornholio666 a jesli ja spowodu dziury w scianie banku wyniose 100 tys. to juz jest niezgodne z prawem?

Oczywiście, że jest. Bierzesz (kradniesz!) nie swoją rzecz. A jeśli zostawisz otwarty dom to każdy może do niego wejść i wziąć sobie co chce? I będzie to legalne prawda?

[nospor]

@Radarek no ale spokojnie. no przeciez ja wyniesienie mi czegos z domu uwazam za kradzież, nawet jak zostawie drzwi otwarte. To bylo pytanie retoryczne, mające na celu zobrazowanie tego i owego

[hwao]

@Radarek no ale spokojnie. no przeciez ja wyniesienie mi czegos z domu uwazam za kradzież, nawet jak zostawie drzwi otwarte. To bylo pytanie retoryczne, mające na celu zobrazowanie tego i owego

Jak zostawisz dzwi otwarte to watpie zeby jaka kolwiek firma wyplacila Ci ubezpieczenie

[nospor]

Jak zostawisz dzwi otwarte to watpie zeby jaka kolwiek firma wyplacila Ci ubezpieczenie

Ba, ale kto tu mowi o ubezpieczeniu? My tu mowimy czy to jest przestępstwo czy nie
Ale skoro wspomniales o ubezpieczeniu: pewien procent ubezpieczenia jest wyplacany. Przynjammniej cos tam u mnie kobitka mowila ze tak jest

[bełdzio]

Wszystko zależy od osoby, która przyjmie te informacje :-) Swego czasu wysłałem maila do webmastera prezydent.pl oraz netsprint.pl z informacją o błędzie na ich stronach. Na prezydencie dostałem bana na dostęp do strony (lol zbanowali mnie na IP jak mam Neo ), a z Netsprintu dostałem ładnego maila z podziękowaniami. Tak więc wszystko zależy od podejścia :-) Jeden Ci podziękuje, że pomagasz mu, a drugi Ci dokopie, że jesteś lepszy od niego i się z tym obwieszczasz.

[shpyo]

Takie coś jest przestępstwem jeżeli wykorzystasz do własnych niecnych celów.

[hwao]

Dla mnie sprawa jest sporna
Poniewaz, roznie dobrze moga byc te dane wyswietlone normlanie (jezeli mam do nich dostep, a jest dziura "ktora dla mnie nie jest 'dziura' tylko poprostu 'dostepem') to te dane ktore sobie uzysam moge przeciez uznac jako ogolno dostepne (no w koncu ma do nich dostep kazdy, kto chce).

Analogicznie
Powiecmy jest panel admina i w nim sa wyswietlane hasla userow, to moglbym pozwac administatora (2) ktory tez ma do nich dostep za to ze mi je przeglada, raczej nie.. gdyz by to nie mialo sensu.

Wszystko zalezy od tego, jak te dane wykorzystasz (imho - na jakiej licesji sa dane na stronie).

Czyli reasumujac, moga Ci pozwac imho tylko o to ze dzialasz na szkode jego (jezeli za dzialasz, np sprzedasz emaile na spam liste jakas, lub tez naruszasz licesje danych).
Przynajmniej mi sie tak wydaje

[cornholio666]

Wiec nie bede zawiadamial nikogo o tej sprawie, nie chce sie narażac (mlody jeszcze jestem ). Mógłbym to zrobić jakos anonimowo ale na serwerze sa na pewno logi z moim ip.

Przejrzałem kolejna storne wykonana przez firme i jest to samo (tragedia) w dodatku hasla przetrzymywane w bazie nie sa ani kodowane ani haszowane, poprostu gołe hasła. Dorzuciłbym tutaj jeszcze bezmyślność uzytkowników którzy zakładaja np login: kowalski haslo: kowalski

Dla mnie sprawa jest sporna

Tak czy tak możesz sie później po sądach ganiać...

[shpyo]

Jeżeli Ty ich nie poinformujesz, to będzie to ktoś inny. Zawsze ten inny będzie mógł skompromitować tą firmę publicznie (opisując błąd np. na jakimś forum dla dzieci neostrady ).

Na Twoim miejsu bym napisał tego maila. Miałem podobny przypadek z większą firmą na lubelszyźnie - po ich głównej domenie wpisałem phpmyadmin/ i dostałem się ich bazy bez żadnych hasełek . A tam było tyle informacji (hasła nie hashowane, dane pracowników, maile, telefony do prezesów itp.), że gdybym chciał je sprzedać komuś to byłbym ustawiony do końca życia.
Napisałem im maila z opisem jak to zabezpieczyć, na drugi dzień było zrobione i jakoś nie miałem z tego powodu nie przyjemności.