in Säkerhet

Ett tack hade varit trevligt

Häromdagen fann jag en sårbarhet på en hemsida jag halkade in på. Sårbarheten gav mig enkelt tillgång till sidans administrationspanel där jag kunde lägga till, ta bort, redigera allt från erbjudanden, restaurangmeny, nyheter och öppettider. Jag kontaktade sidans administratör via ett mail där jag beskrev problemet och tipsade om att de borde täppa till säkerhetshålet. Här är mailet:


Man kan tycka att detta var väldigt snällt av mig. Man kan även tycka att man som utvecklare eller företag borde vara tacksam om man fick ett sådant mail. Men tyvärr… Nu, efter ca en vecka, har jag inte fått något svar på mitt mail och jag bestämde mig därför att besöka sidan igen och se ifall problemet kvarstod. Till min milda bitterhet märkte jag att hålet var fixat och att det inte längre gick att logga in på deras administrationssidor.

Så, någon har fått mitt trevliga lilla mail, fixat sårbarheten eller kontaktat någon som fixat sårbarheten, för att sedan bara låta livet gå vidare. Hur kan man, med gott samvete, få ett så trevligt mail utan att tacka för tipset. Det är för mig oförståeligt. Jag hade lätt kunnat förstöra deras hemsida på några få sekunder, och det hade troligtvis inte funnits någon backup. Jag hade kunnat ändra öppettiderna och kanske minskat deras besökarantal. Jag hade kunnat ändra menyn till något helt uppåt väggarna. Jag hade kunnat annonsera ut en tävling som kanske några hade kommit för att ställa upp i. Ja jag hade kunnat förstöra helt enkelt.

Ja jag är bitter, rätt eller fel?

Och ja, det var en så kallad SQL-injection som gav mig tillgång till sidans administrationspanel.

[tags]SQL, Webbutveckling, Webbdesign, Säkerhet[/tags]
Intressant

  • http://www.webpal.se/blogg/ Niklas Olsson

    Håller helt med dig, ett tack är obligatoriskt.

    Sådana gärningar är det ju extremt viktigt att uppmuntra! Läste för en tid sedan om någon ungdom som lyckats ta sig in i en ftp men inte fått några svar på sina mail om problemet. Tillslut la han in ngn form av textfil på sidan där han presenterade sig och beskrev problemet för den som loggade in på ftpn. Slutade med fällande dom för dataintrång tror jag… Det är en underlig värld vi lever i!

  • http://www.webpal.se/blogg/ Niklas Olsson

    Håller helt med dig, ett tack är obligatoriskt.

    Sådana gärningar är det ju extremt viktigt att uppmuntra! Läste för en tid sedan om någon ungdom som lyckats ta sig in i en ftp men inte fått några svar på sina mail om problemet. Tillslut la han in ngn form av textfil på sidan där han presenterade sig och beskrev problemet för den som loggade in på ftpn. Slutade med fällande dom för dataintrång tror jag… Det är en underlig värld vi lever i!

  • http://www.xoda.se/ Mattias Wirf

    Klart du skulle fått ett tack. Det skulle jag skickat i alla fall… hoppas jag.

  • http://www.xoda.se/ Mattias Wirf

    Klart du skulle fått ett tack. Det skulle jag skickat i alla fall… hoppas jag.

  • http://www.fredriknas.se/ Fredrik Näs

    länge leve sverige NIklas Olsson.

    klart man ska ha ett tack nr man räddar dom som lätta byten från alla patetiska hackergrupper som tycks förorena nätet dagligen nuförtiden…

    men i sverige så kan man inte ta kritik… så då stämmer man folk istället för att visa falsk styrka..

    länge leve den svenska tigern! (mitt sista inlägg som boende i sverige!)
    ;) ha det bra mr Mathajazh kom över i sommar!

  • http://www.fredriknas.se Fredrik Näs

    länge leve sverige NIklas Olsson.

    klart man ska ha ett tack nr man räddar dom som lätta byten från alla patetiska hackergrupper som tycks förorena nätet dagligen nuförtiden…

    men i sverige så kan man inte ta kritik… så då stämmer man folk istället för att visa falsk styrka..

    länge leve den svenska tigern! (mitt sista inlägg som boende i sverige!)
    ;) ha det bra mr Mathajazh kom över i sommar!

  • http://www.din-it-kunskap.com/ Manou

    Vissa människor är bara dålig uppfostrade, man har inte lärt dem att säga förlåt,ursäkta eller tack.Det som är helt naturligt för du och jag.Ibland gör man det rätta utan att förvänta sig ett tack.

  • http://www.din-it-kunskap.com Manou

    Vissa människor är bara dålig uppfostrade, man har inte lärt dem att säga förlåt,ursäkta eller tack.Det som är helt naturligt för du och jag.Ibland gör man det rätta utan att förvänta sig ett tack.

  • http://blog.melinweb.com/ Melin

    Surt..

    En gång hjälpte jag och 2 polare (vi var 15-16) en dam att knuffa hennes bil till en parkering – sommar, varmt som fan osv.. Vi fick knuffa bilen 2-300m och svetten rann om oss när vi var klara (hon försökte starta bilen medans vi knuffade så det var ju inte en enkel knuff direkt) – hon gick utan att säga tack..

  • http://blog.melinweb.com Melin

    Surt..

    En gång hjälpte jag och 2 polare (vi var 15-16) en dam att knuffa hennes bil till en parkering – sommar, varmt som fan osv.. Vi fick knuffa bilen 2-300m och svetten rann om oss när vi var klara (hon försökte starta bilen medans vi knuffade så det var ju inte en enkel knuff direkt) – hon gick utan att säga tack..

  • Jonas

    @Melin:
    Gick hon?
    Vad gjorde hon av bilen? :D

    Skämt åsido.
    Usch, kurs i vett o etikett, kanske?!

  • Jonas

    @Melin:
    Gick hon?
    Vad gjorde hon av bilen? :D

    Skämt åsido.
    Usch, kurs i vett o etikett, kanske?!

  • http://lbsfoto.blogspot.com/ Magnus

    Förstår verkligen din uppgivenhet. Det borde verkligen varit på sin plats med ett stort tack och varför inte en lunch? Hoppas verkligen den person som inte har vett att uppskatta det du gjorde tar en titt här och ser vad andra tycker om saken.

    En del kanske tycker att du gott skulle kunna publicera namnet på restaurangen nu när de bara skulle drabbas av badwill men jag tycker det var starkt av dig att inte falla för frestelsen att avslöja vem som inte har vett nog att uppskatta det du gjorde.. ;)

  • http://lbsfoto.blogspot.com Magnus

    Förstår verkligen din uppgivenhet. Det borde verkligen varit på sin plats med ett stort tack och varför inte en lunch? Hoppas verkligen den person som inte har vett att uppskatta det du gjorde tar en titt här och ser vad andra tycker om saken.

    En del kanske tycker att du gott skulle kunna publicera namnet på restaurangen nu när de bara skulle drabbas av badwill men jag tycker det var starkt av dig att inte falla för frestelsen att avslöja vem som inte har vett nog att uppskatta det du gjorde.. ;)

  • http://IntressantBlogg.se/ Dennis Svensson

    Varför få försig att lägga en SQL-injection?

    Hade själv blivit arg om någon försökt hacka någon av mina sidor…

    Gå till en kiosk dra sönder en ruta lämna en lapp IwasHere!, klart man blir arg.. inte så sugen på att tacka precis. Men förstår att du vill ha ett tack när dina avsikter inte var onda,, men det vet ju inte han/hon..

    M.v.h Dennis

    • http://blog.proliit.se/ Amnell

      Att döma av mitt mail har mina avsikter inte varit onda. I så fall hade det väl varit alldeles för trögt av mig att maila och berätta sårbarheten :) Men det är väl en tolkningsfråga.

  • http://IntressantBlogg.se Dennis Svensson

    Varför få försig att lägga en SQL-injection?

    Hade själv blivit arg om någon försökt hacka någon av mina sidor…

    Gå till en kiosk dra sönder en ruta lämna en lapp IwasHere!, klart man blir arg.. inte så sugen på att tacka precis. Men förstår att du vill ha ett tack när dina avsikter inte var onda,, men det vet ju inte han/hon..

    M.v.h Dennis

    • admin

      Att döma av mitt mail har mina avsikter inte varit onda. I så fall hade det väl varit alldeles för trögt av mig att maila och berätta sårbarheten :) Men det är väl en tolkningsfråga.