Hallöchen,

ich habe einmal eine kleine Frage. Ich habe auf einer Website eine Sicherheitslücke entdeckt, und würde den Webmaster darüber gern informieren. Nur wenn ich ihm jetzt eine E-Mail schicken würde, denkt der Admin ja, dass ich vor hatte, seine Website zu hacken. Ich meine, niemand gibt aus Versehen <script>alert('test');</script> ein.

Könnte der Webmaster dann irgendwas machen? Geloggt wird dies doch mit Sicherheit.

Würde mich über Antworten darüber freuen, wie das so ist.

Grüße :confused:

ich glaube der wird sich freuen wenn du ihm die lücke mitteilst.
und selbst wenn nicht sollte dir nichts passieren.

mfg

Wenn du auf der Seite nichts böses gemacht hast, dann bist du Rechtlich gesehen Unschuldig. Du kannst ihm die Lücke ruhig mitteilen, wie gesagt er wird sich freuen.

Dadurch, dass du etwas gestehst (und nichts anderes würdest du damit machen), ändert sich nichts am Tatbestand. Wenn du an der Seite noch nichts gemacht hast, hast du theoretisch noch keine Attacke auf die Internetseite durchgeführt, man könnte dir das aber trotzdem als Hackversuch auslegen.
Wenn du noch nichtmal auf eine Datenbank zugegriffen, oder das Script in irgendeiner Weise manipuliert hast, dann wird dir deswegen niemand Stress machen.

So viel zur rechtlichen Situtation..
Die andere Seite ist, dass die meisten Admins dir sehr denkbar sind, wenn du sie über wesentliche Sicherheitslücken aufklärst. Gibt kaum Admins, die dann versuchen dich in irgendeiner Form dafür zu belangen. In deinem Fall hast du noch nichts gemacht.. als ich auf den Servern von Hostern für Gameserver war, habe ich zur Sicherheit für meine Anonymität gesorgt, als ich den Betreiber aufgeklärt habe.

Sicherheit geht immer vor, aber in deinem Fall wirst du keine Probleme bekommen.

ich würd aufpassen, es gibt viele fälle das administratoren dann böse werden, weil sie nicht gerne höhren das ihr zeug vuln ist, und es gibt auch viele fälle wo der der so nett war eine lücke zu melden anschließend angezeigt wurde.

ne andere sache ist das z.b. leute bei großen firmen nach belohnungen für solche funde gefragt haben (nachdem sie was gefunden hatten). das ganze wird offt im nachhinein als erpressung ausgelegt.

also auch wenn du eigendlich der gute bist würde ich anonym bleiben.

Es ist ungefähr so als wenn du deinem Nachbarn Anrufst und ihm sagst das er die Gartentür auf hat.

So lang du nichts dran getan hast, ist es ja nicht strafbar !
Das du da diese Commands eingegeben hast ist an sich ja nichts schlimmes, denke ich zumindest. Sag es ihm einfach und ich würde an seiner Stelle dir nur dankbar dafür sein.

Wenn du ihn 'gerne' über diese Lücke informieren willst, wieso machst du das nicht anonym?

Hey,

Danke Euch erstmal. Aber anonym melden? Im Netz ist man doch nirgendswo anonym.
Aber wenn die Webmaster eh zum größten Teil dankbar sind und ich ja auch keinen Schaden anrichten will, melde ich das wohl mal morgen.

Mit anonym meine ich schnell einen zweiten e-mail Account erstellen und mit dem schreiben

Mit anonym meine ich schnell einen zweiten e-mail Account erstellen und mit dem schreiben

Achso, ja, das habe ich mir auch schon überlegt. Aber die IP-Adresse wird ja auf dem Server eh geloggt, womit ein anderer E-Mail-Account dann wohl nicht all zu viel helfen würde. Aber ich habe eh noch eine zweite "Müll-Mail", wie ich sie nenne :D

LG und Danke nochmals!

zieh dirn socks5 an und dann mit ner trashmail oder so,
musst ja nicht schreiben
"Hallo XYZ" Habe eine sicherheitslücke endeckt! und werde
nichts machen!
ich bin XYZ Mustermann
wohne am XYZ im XYZ
meine telefon nummer ist XYZ
meine kreditkarten daten sind XYZ

~anonym bleiben

Wenn ich noch was sagen darf was das ganze hier auhc ein wenig beantwortet:
Hört euch:
CR152 Responsible Disclosure - Chaosradio Podcast Network (http://chaosradio.ccc.de/cr152.html)
An, da geht es um full und responsiple discolser!
Also wie mab mit olechen Lücken umgfeht!

Also ich fänds gut wenn mich jemand auf eine Sicherheitslücke hinweisen würde .
Glaube nicht das da was passiert.
Außerdem finde ich es echt gut das es so Leute wie dich gibt die solche Lücken nicht ausnutzen und damit Unsinn machen sondern so korekt sind und versuchen zu helfen.
Sowas ist für micht ein Hacker , und nicht die Kiddys die massenweise Rat´s spreaden und sich dann abens unter der Bettdecke einen darauf kloppen.
RESPEKT

Wenn du deinen Nachbarn anrufst und sagst: "Hey dein Schuppen brennt", meinst du der rennt zu den Grünen/Blauen und zeigt dich an?

(Okay das Benzin vorher verstecken)...

Ist wie hier eh schon Hunderttausend mal erklärt, recht unterschiedlich.
Ich hatte sogar schon Admins die mich über das StGB aufklären wollten und meinten dass sie mich wegen Hackversuchs Anzeigen würden.

Ich war deswegen schon 3x3 Jahre im Knast..... -,-*

Nein Spaß, mach dir einen anonyme Mail Account und verwende bei deinen Versuchen immer Proxy, VPN wh4t ever!
Wenn du Glück hast kannst du sogar ein wenig Taschengeld damit verdienen! ;)

Mit anonym meine ich nicht einen zweiten Account anzulegen Oo
Je nachdem wie du den Admin kontaktierst, erstellst du dir dafür einen Account (Per Mail, ICQ, Livechat, ..).
Einen mit Daten, die nicht mit dir in Verbindung gebracht werden können.

Um anonym zu sein, musst du dich dann aber auch noch um deine IP Adresse kümmern. Stichwort Proxy.


Und der Vergleich den ihr darstellt ist absolut dämlich:
Wenn man seinen Nachbarn anruft, und ihm sagt, man sei per Lockpicking in sein Haus eingebrochen, und wollte ihn nun darauf hinweisen, dass seine Eingangstür nicht ausreichend gesichert sei, so gibt es sicherlich eine Vielzahl von Leuten, die diese Info mitsamt den Umständen lieber nicht gewollt hätten.

Habe es gestern Abend noch gemeldet und heute schon eine Antwort bekommen. Er dankt mir ganz herzlich und das Problem wurde schon an die EDV-Abteilung weitergeleitet und somit schnellstmöglich behoben.

Somit, ist wohl alles ok.

Proxy Server würde ich gern verwenden, aber habe noch nie wirklich einen gefunden, der einigermaßen schnell läuft. Bei denen die ich gefunden habe, braucht eine Seite 5 Minuten zum Laden. Gibt es da irgendwo einen guten und schnellen?

Danke Euch!

lieber immer anon pentesten und auch anon die lücke mitteilen, per email am besten aber auch nicht ohne socks oder vpn.
selbst wenn der webmaster dann ein vogel ist, kann dir nix passieren

@Janni
versuch mal Cyber Ghost VPN läuft schnell genug Server stehn zwar in Deutschland aber
für sowas wie du damit vorhast wirds reichen ;)

Wenn ich noch was sagen darf was das ganze hier auhc ein wenig beantwortet:
Hört euch:
CR152 Responsible Disclosure - Chaosradio Podcast Network (http://chaosradio.ccc.de/cr152.html)
An, da geht es um full und responsiple discolser!
Also wie mab mit olechen Lücken umgfeht!

Wie geil ^^ nich schlecht :P