Hi, mich hat ma Interessiert was ihr so macht wenn ihr n XSS oder SQLi oder iwas halt auf einer HP findet... Schickt ihrs den Admins das dies fixen können.. oder nutzt ihrs voll aus und lasst euren Künsten freien lauf?^^
Achso und (wenn ihrs Reportet) da es mich Persönlich zu nem einzelfall bei mir Interessiert... wollte ich noch Fragen ob ihrs mit eurer 'Orginal' email Reportet , oder eine fake erstellt...
s1ckST4R =)

ich suche nicht danach, ich nutze es nicht und reporte es nicht da es nicht erlaubt ist eine lücke zu suchen

Wozu reporten und dann am besten noch mit Orignalmail ?
Damit der Admin den Fehler fixt, sich damit brüstet wie er den miesen Hacker erwischt hat und Dich gleich zu den Grünen weiterschickt ?

nachdenken ...

hmm von dem Aspekt hab ich das ganze noch garnicht betrachtet O_o... ich hab sogar fastschon ne lobemail zurück erwartet.. weil naja dadur kann ja n riesen schaden entstehen... wenn man sich auskennt, und jemand wo die lücke Reportet. Gut aber ich glaub ihr habt recht thx.

Kann Dich verstehen, war auch nicht böse gemeint :) Am Anfang dachte ich auch es wäre ja toll den Leuten mitzuteilen was sie besser machen könnten.

Aber die Reaktionen waren ungefähr genauso als wenn Du Dich in eine Einkaufspassage stellst und jedem 2. ungefragt Tipps gibst wie er sich besser kleiden könnte. Die Antworten kannst Du Dir vorstellen.

Also wie gesagt, gut gemeint aber man schadet sich nur selbst :)

Du wirst keinen Keks bekommen.. aber wenn ich fake Email schon lese kann ich davon ausgehen, dass du nichtmal Proxies verwendest? Wenn ein Admin - unabhängig davon was du genau gemacht hast und ob du es ihm anschließend sagst - angepisst ist, kann er dich trotzdem anzeigen.

Wenn es sich lohnt verkauf die Lücke oder nutze sie aus, poste sie zu Übungszwecken im SQLi Forum oder sag ihm bescheid. Ist wohl deine Entscheidung oder?

Ich selber hatte eine Injection auf zwei doch recht großen Serververleih Anbietern, also quasi Zugriff auf die einzelnen Gameserver und die User (samt ihren gekauften Credits). Habe mich beim Live Support gemeldet und ihm die Situation geschildert.. er war geschockt und hat den Abend durchgearbeitet um alle Fehler zu beheben, ebenso wie der andere. Hab zwar keinen Keks bekommen, aber in beiden Fällen ausreichend Credits um Premium Server zu leihen :D