Ach Gottchen, das ist doch noch lange keine Analyse. Das war in 3 Minuten im Vorbeigehen aufgesammelt, nichts was ein böser Chinese, Russe oder Ukrainer nicht längst schon wissen um hier die gängigen Stereotypen zu bedienen.

Wenn Jan schon martialisch mit Totenköpfen freundliche Grüße an irgendwelche "nimmermüden Schürfer-Scripte" schickt, so verdient er es zu erfahren, was diese so wissen.

Ich sage Dir mal was eine Analyse wäre: Wenn der Bildupload inkl. serverseitiges Parsing der EXIF Informationen einmal analysiert würde, wie es sich mit manipulierten Dateien mit entsprechender Payload verhält. Was passiert eigentlich, wenn ich

Google mal "responsible disclosure"! Es ist schlicht absolut unterirdischer Stil, Sicherheitsprobleme öffentlich zu postenl, ohne dem Verantwortlichen vorher genug Zeit zu geben sie zu bereinigen.

Und das Argument "die Russen/Chinesen/Auserirdischen... finden die doch auch locker" ist in dem zusammenhang ziemlich absurd. Jeder, der auch nur halbwegs Ahnung von Computersicherheit hat, weiss, dass es natürlich keinen Schutz gegen wirklich professionelle Hacker gibt - aber die werden aicher nicht dieses Forum angreifen. Es geht um Gelegenheits-Script-Kiddies. Und die lockt man mit solchen disclusures durchaus an.

Wem es bisher nicht klar war, der weiß es jetzt: Du bist nichts als ein Profilneurotiker !

Was für ein Schwachsinn... und wenn Du mein verlinkes Negativbeispiel sehen würdest ist mir responsible disclosure sehr wohl bekannt.

Erik, du meinst, er ist ein "Möchtegern Groß"? Wenn ja, denken viele vermutlich schon länger... Im Austeilen ist TJ groß und eher nicht dezent. Aber wehe, man hält ihm was vor. Für mich gilt, wer austeilt muss auch einstecken können....

und wenn Du mein verlinkes Negativbeispiel sehen würdest ist mir responsible disclosure sehr wohl bekannt.

Ah ja - wenn Du dafür bezahlt wirst, dann hälst Du Dich also an die Regeln - nur unbezahlt posaunst Du Sicherheitsprobleme einfach so raus.

Sorry, aber das ist echt schlechtest denkbarer Style.

Falsch Du liegst schon wieder völlig neben der Sache, es ist ein kostenloser Service.

Also ob jemand meinen Beitrag vom 15. Dezember gelesen hätte, wo ich den Angriffsvektor mit Bildupload und EXIF Daten beschrieben habe, hier angewendet auf WP:

https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/

told you so... nicht ob sondern wann, das ist die Frage...

@Jan Brill:

Ich hätte hier zwei SQL-Injections für die PuF Website. Wie sind die Überlegungen hinsichtlich Bug Bounty in der Zwischenzeit gediehen?

Schlechter Zeitpunkt; ich glaube, Jan ist aktuell nicht in der Stimmung, einem Forum, das er nicht lesen mag, auch noch Preisausschreiben hinterherzuwerfen.

Vorschlag:

2 SQL-Insertion-Bugs => 2 Kisten handelsübliches Bier von mir

Kommt per Paypal, sobald Jan bestätigt, dass Du ihm die Bugs zugeschickt hast.

Verrechne es doch einfach mit der Nutzungsgebühr die Du schon seit Jahren nicht zahlst!

Geld verlangen zu wollen von einem Forumsbetreiber dessen Service ich schoin seit Jahren kostenfrei nutze käme mir eher seltener in den Sinn...

Verrechne es doch einfach mit der Nutzungsgebühr die Du schon seit Jahren nicht zahlst! Geld verlangen zu wollen von einem Forumsbetreiber dessen Service ich schoin seit Jahren kostenfrei nutze käme mir eher seltener in den Sinn...

Dann hast Du das Internet wohl noch nicht begriffen.

Wenn ich die ganzen Werbebanner links und rechts des PuF Forums sehe, glaube ich nicht, daß ich derjenige bin, der etwas für das Forum zahlen sollte. Im Gegenteil: Ich empfinde es höchst befremdlich als PuF Abonnement doppelt und dreifach bezahlen zu müssen (mit Daten und Tracking) oder mit Werbung belästigt zu werden.

... bin gespannt und lernbereit ;-)

Bounty gibt's bei einem kostenlos angebotenen Produkt natürlich keine, jedenfalls nicht von mir.

Okay schlechter Zeitpunkt das kann sein. Da hast Du Recht. Mir ist gar nicht bewusst gewesen, daß es im Nachbar-Thread so heiß herging. Ganz ohne Umkehrkurven sogar.

Du hast gerade einfach kommentarlos eine Email bekommen....

Wie bei Florian vorhin schon angemerkt... ich empfinde es als sehr befremdlich doppelt und dreifach für etwas bezahlen zu müssen... denn kostenlos ist es mitnichten. Denn dann könnten die Werbebanner und das Tracking weg, oder?

Du nutzt es doch freiwillig, wirst doch nicht gezwungen. Du kannst bei RTL abschalten, wenn Dich die Werbung stört, genauso hier

> Im Gegenteil: Ich empfinde es höchst befremdlich als PuF Abonnement doppelt und dreifach bezahlen zu müssen (mit Daten und Tracking) oder mit Werbung belästigt zu werden.

Du zahlst für's Abo, dass garantiert auf trackingfreiem Papier auch an die Adresse Deiner verstorbenene Urgroßmutter im gleichen Wohnhaus zugestellt würde - das Abo hat offiziell nichts mit dem Forum zu tun.

Bleibt die Nutzung des Forums an sich:

GoogleAnalytics schmeichelt geringfügig das Ego des Admins (neben den Verbesserungsmöglichkeiten aus der Erkenntnissen). Ansonsten ist das PuF-Forum ziemlich datensparsam; insbesondere, wenn ich es mit den Seiten vergleiche, die Geld mit den Seiten an sich verdienen wollen.

Dass die Werbung hier so viel bringt, dass auch nur die Stromkosten für den Server reinkommen, halte ich für fraglich.

Ist dir das nicht peinlich, deine Dienstleistungen hier so anzubieten? Läuft das Geschäft nicht?

Hm, ich könnte ja mal deinen Internetauftritt und Blog auf Rechtschreibfehler durchsuchen. Bekommst auch einen echt guten Stundensatz! Sagen wir, pro Orthographiefehler 5 €, pro Dativfehler 15 € und für falsche Fremdworte eine Umkehrkurvenschulung? Na, gemerkt?

Ach sei ma nich so kleinlich, Sven: ich werde für ihn ne Dose Red Bull im Hangarkühlschrank bereitstellen: verleiht Flügel, das sollte auch und insbesondere bei Umkehrkurven hilfreich sein :-)

@ Tee Jay: sag aber vorher bescheid, solltest Du nach Worms kommen, um Dir Deine Dose abzuholen :-))

Und was kaufst Du Dir dann? e-tron? TBM850?

E-tron musste ich googeln, ich geb’s zu - hatte aber eine grobe Ahnung, dass das ein etwas neuerer Horch ist. Ne, für 30 k € ein TR A320 :-). Für 60.000 TR G650. Wenn’s für 95 k € reicht, dann ein Redbird FMX. Für 140.000 € den Pipistrel Alpha Electro. Sollten es über 300.000 € werden, ein EFH mit Meeresblick in Fahrradreichweite zu EDHK. Alles drüber wären Kombinationskäufe.

In Kiel gibt es noch EFH mit Meerblick für 300K?

https://www.kn-online.de/Kiel/Mehr-Starts-und-Landungen-Kieler-Flughafen-ist-im-Aufwind

https://www.immobilienscout24.de/Suche/S-T/Wohnung-Kauf/Schleswig-Holstein/Kiel/Holtenau?enteredFrom=result_list

Jein, Neubau gerade mit 519.000 € gelistet Nähe EDHK, aber Holtenau ist nicht so teuer, wie du an den beiden anderen Anzeigen siehst. Ich hab vor wenigen Jahren mal auf eine Doppelhaushälfte geguckt, die mit 100 qm Grundfläche und 1000 qm Grundstück fußläufig zum Millionenhügel in Strande (beste Ecke nebst Düsternbrook und Kitzeberg) von 249.000 auf 199.000 heruntergesetzt war. Ich dachte, da muss ein Haken sein, Holzwurm oder was auch immer, aber das war die Marktlage. Das fluktuiert also - ist ja nur das geliebte Landeshauptdorf von Schläfrig-Holstein. Mit den teuren Märkten wie MUC, FRA, DUS, HH und Berlin nicht zu vergleichen. Leute aus dem Süden sind immer ganz ungläubig ob der Preise. Derzeit aber Wohnungsknappheit.

Zur "Bierkiste" und den zwei "SQL-Injections".

Die Diskussion läuft per Mail. Die Voraussetzung für die von mir ausgelobten 2 Bierkisten war ausschließlich, das Ganze an Jan zu melden, und das ist erfolgt. Jan hat es mir weitergeleitet.

Ein realer Angriffsvektor "So kann man SQL auf Datenbanken beim PuF.Server injecten" ergibt und ergab sich daraus nicht. Die Diskussion dreht sich darum, wie unschön oder eventuell gar gefährlich das sonstige Verhalten des Servers bei "böswillig häßlichem" Input ist. An der Stelle gibt es noch keinen Konsens. Mein persönliches Vertrauen zum Server ist nicht angekratzt.

Ich würde mich nicht als vorrangigen Security-Professional bezeichnen, zu meinen beruflichen Aufgaben gehört aber auch, Security-Findings bei einem Konzern zu bewerten.

Ganz interessant.