Strafanzeige zum Selbermachen

10.05.2009 20:30

Ich surfe gerade mal wieder durch das weite, weite Internet und stoße dabei auf eine ziemlich offensichtliche SQL Injection. Ich will nicht zu sehr ins Detail gehen, aber es ist keine kleine Seite. Wie auch immer. Wenn man sowas entdeckt ist man ja immer so ein bisschen hin und her gerissen zwischen INSERT, DROP und E-Mail schreiben. Da es im normalen Leben keine Hacker-Ethik Hotline gibt spielt man ein bisschen rum und versucht selber, vielleicht mit Hilfe einiger Freunde auf die richtige Lösung zu kommen. Doch neben dem bösen TOR an, DROP raus gibt es noch einen Weg der eventuell noch böser ist. Was passiert, wenn ich den DROP-URL in eine tinyurl packe und sie an eine unbeliebte Person schicke. Unbeliebte Person(TM) wird auf den Link klicken. Wird auf die verwundbare Webseite weiter geleitet. Der DROP Befehl wird ausgeführt. Die Tabelle oder je nachdem die ganze DB ist futsch. Die Admins wundern sich. Wenn sie keine Logs in der Webapp haben, dann haben sie zumindest den Apache Access Log. Recht schnell werden sie die IP finden die ihnen die DB gedroppt hat. Guckt da noch jemand in der Referer? Speichert der Apache den überhaupt? (Ich hab gerade nur nen lighttpd) Wie schwer wird es der Unbeliebten Person(TM) fallen zu beweisen, dass er/sie sich gerade nicht der Computer Sabotage (Strafbar nach § sonstwas) schuldig gemacht hat. Und wenn ich die Person nicht dazu bekomme ne tinyurl anzuklicken dann pack in den Call in ein Bild auf myFacebookVZ.

Ich hab übrigens keine der Alternativen wahrgenommen.


Kommentare
Wie ist das denn?
Joachim Lehmann, Dienstag, 12. Mai 2009 11:43:47
Ein/Ausklappen

Irgendwie musst du die TinyUrl doch an Unbeliebte Person[TM] leiten.

Könnte der das nicht durch ICQ-Log...Mails etc. zeigen, dass er nur diesen Link bekam und dahinter nicht sichtbar war was er bewirkt?


Bewertung: 98 Punkte bei 18 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Heiliger Sankt Florian / Verschon mein Haus / Zünd andre an!
Eilert Eilig, Sonntag, 10. Mai 2009 22:56:30
Ein/Ausklappen

Lässt es sich sicher verhindern, dass man selbst zu "Unbeliebte Person[TM]" wird? Nur noch über TOR ins Netz? Noch andere Möglichkeiten?

Der Staatsanwalt wird nur dem Access-Log mit der IP von "Unbeliebte Person[TM]" glauben. Verteidiger und Richter haben hoffentlich den Blog gelesen und können glauben, dass es noch andere Möglichkeiten für die Schuldfrage gibt.




Bewertung: 129 Punkte bei 19 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Heiliger Sankt Florian / Verschon mein Haus / Zünd andre an!
Dieter (unangemeldet), Samstag, 16. Mai 2009 14:03:08
Ein/Ausklappen

Es geht auch ohne etwas kaputt zu machen. Man muss ja nur verbotene Software auf den Rechner laden und dann dafür sorgen, dass dieser möglichst bald gescannt wird.




Bewertung: 102 Punkte bei 17 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zum Autor

Daniel Gultsch

Daniel Gultsch ist Student an der RWTH Aachen. Seit über 7 Jahren setzt er nun ausschließlich Linux auf seinen Rechnern ein. Zur Zeit läuft auf seinem Desktop ein Gentoo Linux mit KDE 4.4 und auf seinem Thinkpad X301 ein Gentoo mit dem Tiling WM i3. In seiner Freizeit hält er ein Netzwerk mit ~250 Benutzern am Laufen.

Zum Blog von Daniel Gultsch →