BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Netzwerke/Telekommunikation (http://www.black-board.net/board.php?boardid=2)
--- Security Lücke in Shopsystem gefunden (http://www.black-board.net/thread.php?threadid=23830)

Geschrieben von phoenix am 08.12.2009 um 11:09:

  Lücke in Shopsystem gefunden

Hallo zusammen,

ich habe eben beim einkaufen im Netz in einem größeren Onlineshop eine Lücke im Bestellsystem gefunden, welche es mir ermöglicht, beliebig viele bereits abgelaufene Aktionsgutscheine, im Warenkorb zu platzieren und somit den Einkaufswert gegen Null zu drücken.

Ich habe keine Bestellung durchgeführt sondern nur getestet ob das noch überprüft wird, was anscheinend nicht passiert.

Wie kommuniziere ich so etwas in Richtung Betreiber? Ich habe die Lücke nicht ausgenutzt, ich habe Sie durch Zufall gefunden und es scheint ohne Probleme zu funktionieren. Habe keine Lust am Ende noch eine Klage am Hals zu haben.


Geschrieben von LX am 08.12.2009 um 11:58:

Achtung

Ich denke, solange du nichts bestellt hast, kann man dir da ja nix anhängen. Wenn dir das dennoch zu heikel ist, schreib doch einfach eine Mail von einem anonymen Freemailer aus, oder über einen Proxy und das Kontaktformular des Shops.


Geschrieben von theromi am 08.12.2009 um 13:10:

 

Bloß aufpassen bei sowas. Wenn du ungeschickt vorgehst kiregen sie dich wegen Erpressung (auch wenn du das gar nicht vorhattest) dran. Es gab da vor zwei Wochen ein Chaosradio zu dem Thema: http://chaosradio.ccc.de/cr152.html

Kurz gesagt, du kannst dich an den CCC wenden, die helfen bei sowas. Je nach dem wie groß der Shop ist muss man natürlich gucken, ob das verhältnismäßig wäre.


Geschrieben von phoenix am 08.12.2009 um 13:26:

 

Zitat:
Original von theromi
Bloß aufpassen bei sowas. Wenn du ungeschickt vorgehst kiregen sie dich wegen Erpressung (auch wenn du das gar nicht vorhattest) dran. Es gab da vor zwei Wochen ein Chaosradio zu dem Thema: http://chaosradio.ccc.de/cr152.html


Als treuer Chaosradiopodcasthoerer habe ich diese Folge auch gehoert. Augenzwinkern

Zitat:
Original von theromi
Kurz gesagt, du kannst dich an den CCC wenden, die helfen bei sowas. Je nach dem wie groß der Shop ist muss man natürlich gucken, ob das verhältnismäßig wäre.


Dies ist genau der Punkt, was ist verhältnismäßig? Mal schauen was ich machen werde. Muss mir das noch einmal überlegen, vielleicht lasse ich es auch einfach sein, ist ja nicht mein Problem. Augenzwinkern

#Update

Gestern noch eine nette Mail an den Shop geschickt in der ich das Problem beschrieben habe und den Betreiber gebeten habe den Fehler zu überprüfen. Heute morgen eine Mail erhalten, wo sich der Betreiber für den Hinweis bedankt. Nun darf ich mir noch einen Artikel im Shop aussuchen den Sie mir zuschicken.

Also alles ganz gut gelaufen. smile


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH