Sponsor-Board.de
[S]Aufträge als Kraft für Webseiten Sicherheit

+- Sponsor-Board.de (https://www.sponsor-board.de)
+-- Forum: Netzwerk (/forumdisplay.php?fid=40)
+--- Forum: Jobsuche (/forumdisplay.php?fid=93)
+--- Thema: [S]Aufträge als Kraft für Webseiten Sicherheit (/showthread.php?tid=41728)

[S]Aufträge als Kraft für Webseiten Sicherheit - Uwe Wei - 25.08.2013 17:45

HeyHo!

Ich bin der Uwe.
Jedenfalls kenne ich mich gut mich Sicherheit auf Websiten aus und würde dieses Talent gerne anbieten!

Ich würde 25€ die Stunde in PSC nehmen weil ich leider bei nem Shop eingekauft habe der ebenfalls ne Lücke hatte und man meine Konto Daten nutzte um Shoppen zu gehen und so mein Konto gesperrt wurde. Desswegen PSC.

Preis verhandelbar.
Anfragen per PN und nur wichtige Fragen im Thread.

Nun möge die Macht mit euch sein Wink
mfg

Referenzen:
-comstownit.de mehrere Lücken aufgedeckt
-noez.de mehrere Lücken aufgedeckt
-myfarynet.eu mehrere Lücken aufgedeckt
-vipbanner.de mehrere Lücken aufgedeckt
-pasterntCMS mehrere Lücken aufgedeckt

Was mache ich:

Scanne die Website auf:
-SQLi
-XSS
-Unsichere Passwörter
-Brute
-Unsichere File Uploads
-PHP Code Injections
-Verzeichnis und Datei Checks
-Parameter Manipulationen
-Apache Scripts
-CSRF injctions

*Lücken aufgedeckt! Ich kann nicht garantieren das sie gefixed wurden!

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - LoDu - 25.08.2013 18:04

Exzellente Vorstellung - auch die Erwähnung des Grundes deiner Arbeitslosigkeit.
Wie alt bist du denn? Berufsabschlusse, Bildungsweg?

Was für Lücken hast Du denn aufgedeckt?

25€ in Psc? Das ist für deinen Arbeitgeber leider nicht nachvollziehbar, da keine offizielle Kontobewegung.

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - Uwe Wei - 25.08.2013 18:13

Alter: 21
Abschluss: Real

Mehrere SQLIs dazu auch Blinds, XSS Lücken sowie CSRF außerdem PHP Code Injection.

Wie gesagt ich würds ja gerne mit Konto machen aber es geht nicht, da mein Konto gesperrt ist und ich muss das erst mit Polizei und Gericht klären. Es kann aber noch dauern da Anzeige leider nur gegen Unbekannt läuft.

mfg

EDIT:
Startpost bearbeitet!
Startpost bearbeitet! #2
STARTPOST BEARBEITET #3
Startpost bearbeitet #4

*Startpost bearbeitet = Seite hinzugefügt

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - sunnix - 26.08.2013 05:50

Ich muss ehrlich sagen, dein Auftritt wirkt nicht sehr professionell. Selbst wenn das so ist, manche Informationen gibt man nicht in der Öffentlichkeit Preis.
Sowas kannst du privat erwähnen wenn dieser Personen "Vertrauen" schenkst.

Zu deinen Referenzen. Es wäre schön? Wenn du a) Statements oder b) sich die angesprochenen dazu äußern würden zur Qualität und Co. Dann hast du auch vielleicht mehr Chancen.

pushsubject - push - 26.08.2013 22:10

pushmessage

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - dotmanaged.eu - 27.08.2013 05:54

Hallo,

ich möchte nur eben bei erwähnen, dass Herr Wei bei uns gute Arbeit geleistet hat.
Auf jeden Fall zu empfehlen!

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - Aaron - 27.08.2013 21:39

wie möchtest du sowas testen, wenn du an einem einfach Operator scheiterst ?

[Link: Registrierung erforderlich]

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - Uwe Wei - 27.08.2013 21:44

ich hab das Ausrufezeichen nicht gesehen das ist alles. Desswegen dachte ich das Scipt ist ok.
Mehr nicht.

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - GGSeSports - 28.08.2013 01:24

Uwe Wei schrieb:
ich hab das Ausrufezeichen nicht gesehen das ist alles. Desswegen dachte ich das Scipt ist ok.
Mehr nicht.


Dieses "Ausrufezeichen" sollte jemand der Code analysieren kann kein Problem darstellen.

Du bietest Code-Analyse auf Sicherheit an. Dies funktioniert nur durch Analytisches Vorgehen.

Selbst wenn du das "Ausrufezeichen" übersehen hättest, hätte ein einfacher Analytischer Aufruf des echo Constructes Klarheit in wenigen Versuchen geschafft.

Mit dieser Klarheit hättest du diesen Thread garnicht erst aufmachen müssen.

So erfolgt eine Analyse:
-> Lesen
-> Denken
-> Verstehen
-> Problem ausmerzen oder Konkrete Frage stellen, warum sich etwas so verhält und erklären was du bereits versucht hast.

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - mech - 28.08.2013 08:45

Gibt es eine entsprechende Rechnung für deine Dienstleistung?

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - Uwe Wei - 28.08.2013 15:03

mech schrieb:
Gibt es eine entsprechende Rechnung für deine Dienstleistung?


Du meinst eine Quitung nein.
Ihr sagt welceh Website. Ihr müsst natürlich nachweisen das es eure ist! und dann scanne ich alles durch. das kann je nach größe ein paar minuten oder stunden dauern. Dann erstelle ich davon einen oder mehrere berichte und stelle diese online. Nachdem ihr die geprüft habt bekomme ich mein geld.

pushlive - push - 29.08.2013 21:05

pushmessage

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - k1ngk0ng - 30.08.2013 02:40

Wer Geld empfängt muss auch auf Verlangen eine Quittung stellen, das ist gesetzlich so geregelt und JA gilt auch für Privatpersonen!

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - Uwe Wei - 01.09.2013 11:13

k1ngk0ng schrieb:
Wer Geld empfängt muss auch auf Verlangen eine Quittung stellen, das ist gesetzlich so geregelt und JA gilt auch für Privatpersonen!


ok zeig mir den Paragraphen und ich erfülle diese Vorraussetzung!!

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - dARick - 01.09.2013 11:43

Ich denke das ist das was du suchst


Zitat:
Quittung/Rechnung lt § 368 BGB auch bei Privatverkäufen

Private Verkäufer dürfen grundsätzlich die Bitte eines Käufers nach einer Rechnung oder Quittung nicht ablehnen!! Dies ist in § 368 BGB (Bürgerliches Gesetzbuch) gesetzlich geregelt.

Inhaltlich lautet § 368 BGB wie folgt: "Der Gläubige (= gemeint ist der Verkäufer) hat gegen Empfang der leistung auf Verlangen ein schriftliches Empfangsbekenntnis (= Quittung oder rechnung) zu erteilen. Hat der Schuldner (= gemeint ist der Käufer) ein rechtliches Interesse, dass die Quittung in anderer Form ersteilt wird, so kann er die Erteilung in dieser Form verlangen."



RE: [S]Aufträge als Kraft für Webseiten Sicherheit - Uwe Wei - 01.09.2013 12:26

Softkiller schrieb:
Ich denke das ist das was du suchst


Zitat:
Quittung/Rechnung lt § 368 BGB auch bei Privatverkäufen

Private Verkäufer dürfen grundsätzlich die Bitte eines Käufers nach einer Rechnung oder Quittung nicht ablehnen!! Dies ist in § 368 BGB (Bürgerliches Gesetzbuch) gesetzlich geregelt.

Inhaltlich lautet § 368 BGB wie folgt: "Der Gläubige (= gemeint ist der Verkäufer) hat gegen Empfang der leistung auf Verlangen ein schriftliches Empfangsbekenntnis (= Quittung oder rechnung) zu erteilen. Hat der Schuldner (= gemeint ist der Käufer) ein rechtliches Interesse, dass die Quittung in anderer Form ersteilt wird, so kann er die Erteilung in dieser Form verlangen."


Gut. Dann soll da so sein Wink

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - keving - 01.09.2013 12:42

Mir kommt das ganze hier auch etwas komisch vor.

So leid es mir auch tut, aber die Geschichte mit deinem Konto kauf ich dir nicht ab. Das sollte doch innerhalb weniger Tagen geklärt sein, falls du es wirklich nicht warst.

Ich habe mir vorhin zwei Sekunden lang dein Login Script angesehen und mir fällt sofort ein elementarer Sicherheitsfehler auf:

Uwe Wei schrieb:
-login.php

PHP-Code:
<?php
if(!isset($_POST["username"]))
{
    if($_POST["username"] == $admin_username && $_POST['pw'] == $admin_passwort)
    {
        $_SESSION["username"] = $_POST["username"];
    }
}

        echo "<p>Hallo " $_SESSION["username"] . "</p>";
?>

Du speicherst eine Post Variable ungefiltert und gibst diese ein paar Zeilen weiter einfach wieder aus. Ist zwar hier nur eine XSS Lücke, trotzdem ist das ein Anfängerfehler und sollte nicht so sein. Dass du dich hier als "Sicherheitsexperten" bezeichnest finde ich daher doch etwas lächerlich.

Was verstehst du unter "Scanne die Website auf: -Brute"? Meinst du damit Brute Force? Jedes Passwort kann man theoretisch mittels Brute Force knacken, Voraussetzung ist natürlich unendlich viel Zeit.

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - Stone24 - 01.09.2013 12:43

Es ist halt etwas schade, dass dein Post etwas unseriös aussieht. An sich ist die Idee ja nicht schlecht.

Muss soetwas eigentlich als Kleingewerbe angemeldet werden?

RE: [S]Aufträge als Kraft für Webseiten Sicherheit - Uwe Wei - 01.09.2013 13:07

keving schrieb:
Mir kommt das ganze hier auch etwas komisch vor.

So leid es mir auch tut, aber die Geschichte mit deinem Konto kauf ich dir nicht ab. Das sollte doch innerhalb weniger Tagen geklärt sein, falls du es wirklich nicht warst.

Ich habe mir vorhin zwei Sekunden lang dein Login Script angesehen und mir fällt sofort ein elementarer Sicherheitsfehler auf:

Uwe Wei schrieb:
-login.php

PHP-Code:
<?php
if(!isset($_POST["username"]))
{
    if($_POST["username"] == $admin_username && $_POST['pw'] == $admin_passwort)
    {
        $_SESSION["username"] = $_POST["username"];
    }
}

        echo "<p>Hallo " $_SESSION["username"] . "</p>";
?>

Du speicherst eine Post Variable ungefiltert und gibst diese ein paar Zeilen weiter einfach wieder aus. Ist zwar hier nur eine XSS Lücke, trotzdem ist das ein Anfängerfehler und sollte nicht so sein. Dass du dich hier als "Sicherheitsexperten" bezeichnest finde ich daher doch etwas lächerlich.

Was verstehst du unter "Scanne die Website auf: -Brute"? Meinst du damit Brute Force? Jedes Passwort kann man theoretisch mittels Brute Force knacken, Voraussetzung ist natürlich unendlich viel Zeit.


das ist auch ein vorgefertigtes Script von php-einfach.de
Ich arbeite mit sehr guter Software wie Acunetix, Havij, OWASP ZAP und anderer Software. Ja mit brute meine ich bruteforce. Natürlich gehe ich nur die einfachsten PW durch (arbeite mit RainBow Tables) um zu klären ob eure PW leicht zu knacken sind.