Strafanzeige zum Selbermachen

Strafanzeige zum Selbermachen

Ich surfe gerade mal wieder durch das weite, weite Internet und stoße dabei auf eine ziemlich offensichtliche SQL Injection. Ich will nicht zu sehr ins Detail gehen, aber es ist keine kleine Seite. Wie auch immer. Wenn man sowas entdeckt ist man ja immer so ein bisschen hin und her gerissen zwischen INSERT, DROP und E-Mail schreiben. Da es im normalen Leben keine Hacker-Ethik Hotline gibt spielt man ein bisschen rum und versucht selber, vielleicht mit Hilfe einiger Freunde auf die richtige Lösung zu kommen. Doch neben dem bösen TOR an, DROP raus gibt es noch einen Weg der eventuell noch böser ist. Was passiert, wenn ich den DROP-URL in eine tinyurl packe und sie an eine unbeliebte Person schicke. Unbeliebte Person(TM) wird auf den Link klicken. Wird auf die verwundbare Webseite weiter geleitet. Der DROP Befehl wird ausgeführt. Die Tabelle oder je nachdem die ganze DB ist futsch. Die Admins wundern sich. Wenn sie keine Logs in der Webapp haben, dann haben sie zumindest den Apache Access Log. Recht schnell werden sie die IP finden die ihnen die DB gedroppt hat. Guckt da noch jemand in der Referer? Speichert der Apache den überhaupt? (Ich hab gerade nur nen lighttpd) Wie schwer wird es der Unbeliebten Person(TM) fallen zu beweisen, dass er/sie sich gerade nicht der Computer Sabotage (Strafbar nach § sonstwas) schuldig gemacht hat. Und wenn ich die Person nicht dazu bekomme ne tinyurl anzuklicken dann pack in den Call in ein Bild auf myFacebookVZ.

Ich hab übrigens keine der Alternativen wahrgenommen.

Ähnliche Artikel

Fehler des Startmedienerstellers von Ubuntu 15.10 umgehen

Tim Schürmann

Auch unter Ubuntu 15.10 kann man wieder mit dem Startmedienersteller (alias Startup Disk Creator) ein Live-System auf einem USB-Stick einrichten. Eigentlich. Denn der unter Ubuntu 15.10 erstellte USB-Stick bleibt beim Start hängen. Schuld ist dieses Mal jedoch nicht der Startmedienersteller,...

In KDE und Plasma schnell rechnen

Tim Schürmann

Wer etwas ausrechnen muss, der startet in der Regel den Taschenrechner. Bis man den im Startmenü gefunden hat, vergehen allerdings einige Mausklicks. Unter KDE 4 und Plasma 5 geht es aber auch wesentlich schneller – und zwar ganz ohne den Taschenrechner. Unter den genannten Desktop-Umgebungen...

MediathekView - Teilaufnahmen

Gaston Verhulst

Hallo, Manchmal werden in MediathekView nur Teilaufnahmen einer Sendung gezeigt. Wenn ich die ansehen kann, habe ich gesucht und auch gefunden wie ich die einzelne mp4-Dateien mit einander verbinden kann. http://superuser.com/questions/521113/join-mp4-files-in-linux Die einzelne mp4-Daten...

Pascal mit fpc programmieren in Fedora 21

Gaston Verhulst

Lange her, wenn ich noch Mittglied vom Deutschen A.B.B.U.C. war, habe ich auf meinem ATARI XL noch in Kyan Pascal programmiert. Also möchte ich das auch nun in Fedora 21 versuchen. Dafür habe ich fpc gefunden und installiert. Einen guten Kurs gibt es auf http://www.tutorialspoint.com/pascal/...

E-Mail Benachrichtigung
Benachrichtige mich zu:
3 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
Eilert Eilig
17 Jahre her

Lässt es sich sicher verhindern, dass man selbst zu “Unbeliebte Person[TM]” wird? Nur noch über TOR ins Netz? Noch andere Möglichkeiten?

Der Staatsanwalt wird nur dem Access-Log mit der IP von “Unbeliebte Person[TM]” glauben. Verteidiger und Richter haben hoffentlich den Blog gelesen und können glauben, dass es noch andere Möglichkeiten für die Schuldfrage gibt.

0
Antworten
Dieter
17 Jahre her
Reply to  Eilert Eilig

Es geht auch ohne etwas kaputt zu machen. Man muss ja nur verbotene Software auf den Rechner laden und dann dafür sorgen, dass dieser möglichst bald gescannt wird.

0
Antworten
Joachim Lehmann
17 Jahre her

Irgendwie musst du die TinyUrl doch an Unbeliebte Person[TM] leiten.

Könnte der das nicht durch ICQ-Log…Mails etc. zeigen, dass er nur diesen Link bekam und dahinter nicht sichtbar war was er bewirkt?

0
Antworten
© COMPUTEC MEDIA GmbH
Nach oben