Rapportering af sikkerhedsbrist på hjemmeside

Lad være med det. for nogle år siden havde man det der blev kaldt Haral Nyborg sagen, hvor en bruger opdagede et hul i haral nyborgs web baserede indkøbssystem. Han endte med at blive anmeldt til politiet af Haral Nyborg da han forsøgte at gøre dem opmærksom på problemet. Det er desværre sådan i dag.

Nuvel, hvis det var mig, ville jeg nok fortælle dem det.
Man kan jo bare gøre det anonymt med posten, hvis det endelig er, man er nervøs.
Man hører jo nok kun om de grimme sager, som er spændende, og ikke om dem, hvor man får en flaske vin?

Men det afhænger selvføgelig af, hvordan du har fundet ud af det! Er det på almindelig bruger-vis, eller på "hacker"-vis, eller noget der ligner!?

I sidste fald, vælg posten uden afsender. For det er svært ikke at sige noget er det ikke???  Bare min mening.......

Det drejer sig om E-handelsfondens hjemmeside, og for at være helt ærligt indsatte jeg blot en apostrof i en url, og så fik jeg en fejl fra SQL Serveren.

Tænkte at den næste måske ville skrive en lille "' DELETE bla bla -- " og så går det muligvis galt, eller nogen kunne få adgang til flere oplysninger end tilsigtet.

Synes ikke der er så meget "hackerstil" over det. Men det er nok heller ikke noget en normal bruger uden kendskab til database (SQL) ville falde over.

tak for svarene, smid et svar begge to!

Hej igen!
Men hvad har du så besluttet?
Du burde måske heller ikke have skrevet her på stedet hvor det var, men never mind.

Jeg tror bare jeg holder det for mig selv.
Synes ikke jeg vil løbe nogen risiko for deres skyld. Har ikke brug for at få beslaglagt min computer, eller få en anklage på nakken :|

Hvilket site drejer det sig konkret om? e-handelsfonden.dk viderestiller til www.e-maerket.dk, og da de bygger på Synkrons CMS-løsning, synes jeg helt klart du burde gøre dem opmærksom på problemet, da det ikke kun drejer sig om et, men efterhånden temmelig mange sites, der så vil være ramt af fejlen.
Hvis du ikke selv har lyst, skal jeg gerne viderebringe dine informationer uden at nævne dig. :)

n0rmality >> Jeg kan sende det til dig i en mail. Synes ikke det skal postes i et offentligt forum. Kan du give mig din mail-adresse?

Snildt - david snabel-a mcnally punktum dk :)

n0rmality >> Jeg har nu sendt dig en mail. Håber du vil fortælle hvad de svarer til det.

/Morten

Jeg skal nok holde jer opdateret. Lige nu venter jeg på din mailserver sender mailen igen - et af problemerne med greylisting er, at mails godt kan tage lidt tid om at komme igennem. ;)

Som skrevet til Morten over e-mail, har jeg nu modtaget følgende svar fra en af sitets administratorer:

Hej David McNally

Tak for din mail og for at gøre opmærksom på den mulige sikkerhedsbrist.

Vi vil se på problemet.

Med venlig hilsen

Anton Sarup

:)