it-swarm.com.de

Ich habe einen SQL-Injection-Fehler auf einer öffentlich zugänglichen Website gefunden. Was soll ich tun?

Ich fand (lächerlich einfach zu entdecken) einen SQL-Injection-Fehler auf einer öffentlich zugänglichen Website. Ich vermute sehr, dass in derselben Datenbank Kreditkartennummern ihrer Kunden gespeichert sind (obwohl nicht meine).

Ich habe an eine Service-E-Mail-Adresse geschrieben, aber keine Antwort erhalten, und die Website ist weiterhin mit demselben Fehler aktiv.

Was sollte ich jetzt tun? Gibt es eine gesetzliche Verpflichtung für das Unternehmen, zu reagieren/etwas zu tun (es handelt sich um die deutsche Niederlassung eines amerikanischen Unternehmens)?

3
Mauli

Versuchen Sie, sich mit den Personen in Verbindung zu setzen, die die Website erstellt haben, anstatt mit einer normalen Support-Linie, die besser auf das Produkt/die Dienstleistung zugeschnitten ist und nicht weiß, was mit dem von Ihnen angesprochenen Problem zu tun ist. Nehmen Sie mit ihnen Kontakt auf und bitten Sie sie ausdrücklich, an die Verantwortlichen der Website weitergeleitet zu werden. Sie können sich sehr wohl selbst bescheißen, wenn sie erkennen, was getan werden kann.

Wenn dies fehlschlägt, suchen Sie in den Domänen whois-Datensätzen nach einer technischen E-Mail, z. B. einer humans.txt, oder suchen Sie im Quellcode nach einem Meta-Tag.

Eine Sache, die Sie nicht tun sollten, ist, den Exploit zum Sammeln von Daten zu verwenden - selbst als Beispiel könnten Sie genau so viele Probleme mit dem Gesetz bekommen, als ob Sie die Site selbst gehackt hätten.

1
Dunhamzzz

Leider sind die meisten Organisationen in Bezug auf solche Probleme nicht proaktiv. Eine der Sites, an denen ich gearbeitet habe, lässt alle SQL-Angriffe zu. Der einzige Schutz besteht darin, dass das Benutzerkonto nur "Auswählen aus" zulässt.

THE FUN ANSWER;) Wenn Sie echte Ergebnisse erzielen möchten, missbrauchen Sie die Sicherheitslücke. Das wird die Aufmerksamkeit viel schneller auf sich ziehen, als wenn Sie ihnen das Ergebnis eines Ihrer Angriffe per E-Mail schicken. Oder sagen Sie Betreff: "Hey, sehen Sie sich die coolen neuen Tabellen an, die ich in Ihrer Datenbank erstellt habe."

0
MVCylon