8 Antworten in diesem Thema

[тоскующий]

Die gefundene Sicherheitslücke ist 'ne Sqli. Diese betrifft alle Versionen und Editionen des Shopsystems.

Das auf der Vertriebsseite aufgezeigte Partnersystem scheint ebenfalls betroffen zu sein.

Das Shopsystem wird international vertrieben jedoch am meisten im deutschsprachigen Raum.

Diese Sicherheitslücke wurde bisher nicht im Internet veröffentlicht.

Durch das auslesen der Datenbanken erhält man Zugriff auf Kundendaten, Userdaten, Bankdaten der Kunden sowie Zugriff auf das Adminpanel. Passwörter sind mit md5 verschlüsselt, jedoch steht das Passwort in Plain dahinter. Zu der Sqli lässt sich ein Google Dork erstellen.

Das Shopsystem scheint relativ bekannt zu sein, dorkt man nach deutschen Seiten mit dieser Vuln erhält man über 300.000 Ergebnisse.

 

Wie kann man grob den Wert ermitteln, bzw. habt ihr eine Idee was das ganze Wert sein könnte?

Ich habe bisher nicht vor diese Sqli zu verkaufen oder die Entwickler zu erpressen, es geht allein um das persönliche "Achievement".

 

[pi^2]

Hört sich ordentlich an. Wobei MD5-"verschlüsselte" Passwörter eher für ein billig CMS sprechen und keine anerkannte e-com Software.

Eine SQL-Injection wertet man je nach Zusammenhang als 7-8 / 10.

 

Wenn du das jetzt noch einem Exploit zusammenfasst würde ich ca. einen Wert von 800 € schätzen.

[тоскующий]

Hört sich ordentlich an. Wobei MD5-"verschlüsselte" Passwörter eher für ein billig CMS sprechen und keine anerkannte e-com Software.

Eine SQL-Injection wertet man je nach Zusammenhang als 7-8 / 10.

 

Wenn du das jetzt noch einem Exploit zusammenfasst würde ich ca. einen Wert von 800 € schätzen.

 

Danke für deine Einschätzung.

Das CMS ist laut Hersteller nach Iso Irgendwas zertifiziert.

Es scheint auch das einzigste "richtige" CMS für diese Niche / Branchentyp zu sein. Vergleichbare CMS scheinen billige Kopien oder vergewaltigter Php Code zu sein, soweit ich in Php durchsteige.

Ich bin mittlerweile mit meinen Tests weiter und konnte feststellen das sämtliche angebotene Software betroffen ist.

Dies betrifft auch diverse Zusatzprodukte wie Verwaltungsprogramme für Mobile Kunden.

Desweiteren kann ich bei einem dieser Zusatzprodukte eine Rce Vuln nachweisen.

 

Ich werde mal schauen ob ich es schaffe einen Exploit dafür zu verfassen.

Für weitere Einschätzungen wäre ich sehr dankbar.

Zudem stellt sich die Frage: Melden oder nicht melden?

[Crumble]

 

Zudem stellt sich die Frage: Melden oder nicht melden?

Wie sollen wir dir diese Entscheidung abnehmen?
Kommt auf dich an.

Manche würden es melden, andere hingegen werden sich denken:

Besser verkaufen und Geld machen, die Lücke wird eh gefunden und gefixxed.

Wenn du das mit deinem Gewissen vereinbaren kannst, würde ich es verkaufen.

[тоскующий]

Wie sollen wir dir diese Entscheidung abnehmen?
Kommt auf dich an.

Manche würden es melden, andere hingegen werden sich denken:

Besser verkaufen und Geld machen, die Lücke wird eh gefunden und gefixxed.

Wenn du das mit deinem Gewissen vereinbaren kannst, würde ich es verkaufen.

 

Die Entscheidung kann mir natürlch keiner abnehmen.

Wie du schon schreibst denken die einen so und die anderen so.

Mich interessiert es einfach wie ihr denkt.

Ich werde die Lücke wahrscheinlich zum Kauf anbieten, falls ich einen Käufer finde. Gibt ja nicht mehr so viele offene Handelsplätze für sowas.

[vital]

Wenn du keinen Job hast, dir nur das nötigste leisten kannst, und vielleicht auch noch ein Kind hast, dann würde ich es verkaufen.

 

Nagst du nicht am Hungertuch, melde es.

 

Oder Frag an einer ofiziellen Stelle an, wieviel man dir für das Preisgeben der Lücke bezahlen würde. (auch wenn sie dann wissen das eine existiert)

 

LG

[pi^2]

Ich selbst habe knapp 8 Monate sämtliche Sicherheitslücken aus meinem Repertoir an betroffene Vendoren gemeldet.

Außer einem Dankeschön per E-Mail (auch nicht in allen Fällen) kam dabei nichts herum.

 

Ich bin da eher ein Freund von full-disclosures, damit deckt man einen möglichen Bildungszweck ab und das Unternehmen wird sich bemühen die Schwachstelle schnellstmöglich zu beheben. Vielleicht fällt sogar ein Dankeschön/Grüßung an. Aber das große Geld bzw. die bug-bounty darfst du dir nicht erhoffen.

[тоскующий]

Ich selbst habe knapp 8 Monate sämtliche Sicherheitslücken aus meinem Repertoir an betroffene Vendoren gemeldet.

Außer einem Dankeschön per E-Mail (auch nicht in allen Fällen) kam dabei nichts herum.

 

Ich bin da eher ein Freund von full-disclosures, damit deckt man einen möglichen Bildungszweck ab und das Unternehmen wird sich bemühen die Schwachstelle schnellstmöglich zu beheben. Vielleicht fällt sogar ein Dankeschön/Grüßung an. Aber das große Geld bzw. die bug-bounty darfst du dir nicht erhoffen.

 

Danke für die Rückmeldung. Ich habe mich dazu entschlossen die Vuln zu verkaufen. Vergammeln lassen und melden machen einfach keinen Sinn.

Ehrlich gesagt frage ich mich wodurch das kommt? Also das kaum noch einer Rückmeldung auf gemeldete Sicherheitslücken gibt.

[len0]

Viel spaß beim verticken auf Crime.....