Hackat större e-handel, hur berätta för ägaren?

Har alltid blivit mycket väl mottagen när jag rapporterat om sårbarheter, många har dessutom hört av sig tillbaka och bett mig testa igen när dom patchat dom.
Har dock aldrig ens frågat att få betalt, däremot har det hänt att dom velat ha mitt namn och postadress så dom kunnat skicka något som tack (påstår dom iaf).

På den tiden när jag lekte med detta fick jag oftast user/pass till databaserna via XSS. För att ansluta/dumpa använde jag gärna SQL Yog. Undrar om det ens finns längre? Måste googla...

Har du lust att dela med dig hur? Kan inte komma på något direkt scenario där detta skulle funka på rak arm.
Mvh

Ledsen för sent svar! Inga konstigheter dock! Skaffade shell på burkarna mha lämplig exploit och sedan leta fram config-filen för MySQL där user/pass ligger (kommer inte på rak arm ihåg vad standardnamnet på config-filen är) Med user/pass tyckte jag att det enklaste sättet att dumpa DB'n på var att använda SQLYog. Bara att ansluta och ladda ner...

Detta är ett antal år sedan, och minnet sviker... Kommer ihåg att det blev vanligare och vanligare att anslutningen till databaserna oftare och oftare begränsades till vissa IP-ranges.

Funkade naturligtvis bara på MySQL, men det kändes inte som någon större begränsning...

Massor med gamla DB'er ligger och samlar damm, mestadels från porrsiter. Dessa knäckte jag oftast semi-manuellt med vanliga script exploits (scannade oftast med triton och med modifierade HAS). Annars mest mha scanstros för FxP scenen, men detta är numera ett passerat kapitel för mig, hackar inte alls idag... Kul dock att hålla sig lite informerad om vad som pågår...

Tack för svar

Men jag vill dock friska upp ditt minne lite mer. XSS (Cross site script) handlar om att sidan exekverar kod, vanligtvis javascript och postat av en användare/besökare, vilket sedan kan göra olika saker som t.ex. skickar besökaren vidare, ber användaren ladda ner ett program, stjäl kakor mm. Jag vet inte om detta funkar men jag tror man t.om. kan injicera en ajax keylogger via XSS och på sätt registrera alla knapptryck på sidan.
Senaste jag sysslade med XSS var när jag lekte runt med en php-image-tracker vilket betyder att man publicerar en bild som egentligen är en php fil och koden i den exekveras.

Men om du skapade ett shell via en sårbarhet så brukar detta kallas för exploit(s).
Om något ovanstående är fel så rätta mig gärna.
Mvh

Rätt! XSS använde jag nog mest (i detta fall) för att läsa config.inc eller config.inc.php filerna. Rätt många siter hade faktiskt direkt läsbara config.inc. Ofta gick det att scanna efter phpMyAdmin och pss luska ut var filerna kunde tänkas ligga...

Jag hade rätt många phpMyAdmins med modifierade http-headers för att kunna exekvera kod direkt.

Det var tider det! Sorry för OT!

Men hur gjorde du det via XSS? Låter mer som någon form av LFI?

OnT, hur har det gått?

1)alla sidor som kör webb shop brukar köra sql databaser det är vi alla överens om.

2) det bästa du kan göra av situationen, dumpa databasen här ikväll på fredag så har vi nåt kul att göra i helgen .

mvh

Är du inte ute efter att förstöra så bör du inte publicera databasen.
Ta istället kontakt med ägaren och peka ut sårbarheterna.

Använd ett gratiskonto hos CounterMail.

Så hittar jag ett hål i banken bankvalvet och går in där och kikar lite, är det inte olagligt?

Defacea sidan med en patchad version där säkerhetsbristen är fixad.

Hittade denna tråd via ett bokmärke i webbläsaren.

Sitter TS i finkan nu eller skulle vi kunna få en update?