Ankündigung

Einklappen
Keine Ankündigung bisher.

Umgang mit gefundenen Sicherheitslücken

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Frage: Umgang mit gefundenen Sicherheitslücken

    Hallo an alle . . .

    Wollte mal die Gemeinde fragen, wie diese so mit gefunden Sicherheitslücken umgeht.
    Wie Reportet Ihr diese ? Per mail ? Telefon ?
    Ich selbst bisher immer nur via anonyme Mail Adresse mit der Lücke, ein mögliches Szenario, und Hinweise oder ganze Fixes.
    Leider kommt meist keine Reaktion des Betreibers, und meist bleiben die Lücken auch vorhanden.
    Ist es schlau sich per Telefon zumelden ? Immerhin ist ein nicht Authorisierter Pentest Ilegal .. ?
    Ev habt Ihr mir ja mal ein paar gute Ideen. Dann fixt ev. auch radio32 und so die Lücken :P

    Beste Grüsse

  • #2
    AW: Umgang mit gefundenen Sicherheitslücken

    Hallo Cyru

    Du meinst Sicherheitslücken auf Webseiten ?

    Wie stellst du diese denn fest ?

    Nur so ne Frage, du merkst dies ist nicht gerade mein Thema. Aber als Unwissender bin ich immer neugierig.
    rgds Lordicon


    Der einfachste Weg Identitätskrisen zu vermeiden.

    PSS: [Environment]::UserName

    Lordicon [Lord ei-'kän] frei übersetzt "Lord der Ikone"

    Kommentar


    • #3
      AW: Umgang mit gefundenen Sicherheitslücken

      Zitat von Lordicon Beitrag anzeigen
      Hallo Cyru

      Du meinst Sicherheitslücken auf Webseiten ?

      Wie stellst du diese denn fest ?

      Nur so ne Frage, du merkst dies ist nicht gerade mein Thema. Aber als Unwissender bin ich immer neugierig.
      Ja genau dass meine ich.
      Ich suche meist per Hand / Browser nach den Lücken, ab und zu via Scanner wie beispielsweise Acunetix oder auch Burp Suite.

      Kommentar


      • #4
        AW: Umgang mit gefundenen Sicherheitslücken

        Ich ja cool, hab ich noch nie gemacht.

        Ich war bis jetzt "nur" Anwender. Die Sicherheit deren Webseite ist ja eigentlich nicht mein Problem
        aber das stimmt wohl nur bedingt....
        rgds Lordicon


        Der einfachste Weg Identitätskrisen zu vermeiden.

        PSS: [Environment]::UserName

        Lordicon [Lord ei-'kän] frei übersetzt "Lord der Ikone"

        Kommentar


        • #5
          AW: Umgang mit gefundenen Sicherheitslücken

          Zitat von Lordicon Beitrag anzeigen
          Ich ja cool, hab ich noch nie gemacht.

          Ich war bis jetzt "nur" Anwender. Die Sicherheit deren Webseite ist ja eigentlich nicht mein Problem
          aber das stimmt wohl nur bedingt....
          Genau so ist es ^^

          Kommentar


          • #6
            AW: Umgang mit gefundenen Sicherheitslücken

            Ich habe mal zufällig eine Lücke bei einem schweizweit tätigen Verband gefunden, weil ich festgestellt habe, dass bei der live-Schaltung der neuen Homepage alle Entwickler-Verzeichnisse ohne entsprechende Berechtigungen auf die Live-Site kopiert wurden. Da kam man dann in Bereiche des Servers, die niemals für die Öffentlichkeit gedacht waren. Die Homepage war etwa ein halbes Jahr so online, bis ich das mit einem nett geschriebenen Mail an den Webmaster der Site meldete. Daraufhin erhielt ich einen persönlichen Dankesbrief des entsprechenden Verbandspräsidenten und die Lücke wurde gefixt.

            Also ich finde, wenn man das in einem guten Ton mitteilt, darf man durchaus auch mit vollem Namen dazu stehen, dass man etwas gefunden hat. Es hilft ja schlussendlich auch dem Betreiber selbst.
            Dieses Posting wurde aus 100% rezyklierten Elektronen hergestellt
            und kann für die Umwelt absolut unschädlich gelöscht werden.

            Kommentar


            • #7
              AW: Umgang mit gefundenen Sicherheitslücken

              Bestes bsp.

              Heute @20min.ch : webseite von svp hacked.. vor einem Jahr mail an svp.. vuln : sqli -.-..
              Mein kommentar auf 20min wurde abgelehnt !

              Kommentar


              • #8
                AW: Umgang mit gefundenen Sicherheitslücken

                Naja, macht auch wenig Sinn solche Sachen in einer Kommentarspalte zu hinterlegen
                Ausser fürs Bashing sind diese eh nichts nütz.

                Kommentar


                • #9
                  AW: Umgang mit gefundenen Sicherheitslücken

                  Na was will man wen via Betreiber nix zurück bekommt per Mail ?
                  ¨
                  Somit Off Topic wa xD

                  Kommentar


                  • #10
                    AW: Umgang mit gefundenen Sicherheitslücken

                    Zitat von cyru Beitrag anzeigen
                    Na was will man wen via Betreiber nix zurück bekommt per Mail ?
                    ¨
                    Somit Off Topic wa xD
                    Schnauze halten
                    Ne, ist halt schon ein Problem das ganze. Sicherheitslücken sind Fehler, und Fehler sind in unserer Kultur verpönt. Leider ist es die Minderheit, die dazu steht und dabei auch noch das Rückgrat hat, sich beim Hinweisenden zu bedanken. Nebst diesen gibt es aber noch die "Liga", welche KEINE Fehler macht. KEINE. NIE. 1+1=3.

                    Ich persönlich würde eher zurückhaltend sein mit negativen Kommentaren in diesem Bereich. Erstens nützen sie nichts und zweitens stehst Du im Schussfeld.

                    Kommentar


                    • #11
                      AW: Umgang mit gefundenen Sicherheitslücken

                      Zitat von swizz Beitrag anzeigen
                      Schnauze halten
                      Ne, ist halt schon ein Problem das ganze. Sicherheitslücken sind Fehler, und Fehler sind in unserer Kultur verpönt. Leider ist es die Minderheit, die dazu steht und dabei auch noch das Rückgrat hat, sich beim Hinweisenden zu bedanken. Nebst diesen gibt es aber noch die "Liga", welche KEINE Fehler macht. KEINE. NIE. 1+1=3.

                      Ich persönlich würde eher zurückhaltend sein mit negativen Kommentaren in diesem Bereich. Erstens nützen sie nichts und zweitens stehst Du im Schussfeld.
                      Da muss ich dir Leider Recht geben . . .

                      Kommentar

                      Lädt...
                      X