PDA

Ver la versión completa : Hasta qué punto es delito?


perezjodido
17-12-2008, 19:28
Resulta que navegando por ahí, llego a una web cuya URL es:

pagina.asp?sql=SELECT * FROM productos ORDER BY precio


Y cegado por mi asombro, mientras mi mente no paraba de repetirme "no me lo puedo creer, no me lo puedo creer", hice la siguiente prueba:

pagina.asp?sql=DROP TABLE productos

Bueno pues el caso es que... la tabla se ha borrado, y la tienda online no funciona :-(

¿Hasta qué punto soy culpable? ¿Puede ser tan fácil estar tan jodido? ¿Y si alego que alguien me dijo "haz click en este enlace", y ese enlace me llevaba a "pagina.asp?sql=DROP...", sin yo saberlo?

Decidme algo plz... no era mi intención en absoluto, no se porqué coño tuve que probar lo de DROP, pero es que no me lo podía creer... ojalá tengan copia de seguridad :(
SxR
17-12-2008, 19:43
No pasa nada, no te preocupes, esperemos que tengan copia de seguridad.

De todas formas estaría bien que tu mismo le enviases un mail al admin de la web (desde un mail anonimo) advirtiendo de la falla de seguridad.

Así que tranquilo... ellos la hacen, ellos la pagan... no?
perezjodido
17-12-2008, 19:50
Gracias por contestar SxR,

¿Pero y si no tienen copia? ¿Y si les he jodido las ventas estas navidades? ¿Y si les da por denunciar?

¿Realmente es delito el mero hecho de hacer una prueba poniendo en la URL pagina.asp?sql=DROP...? (Que no es ni siquiera inyección SQL, es que manda huevos que se ejecute la sentencia y que un usuario anónimo tenga permisos de DROP...)
mimasol
17-12-2008, 19:55
Quedate tranquilo que seguramente tienen copia de seguridad,si no la tiene el webmaster dalo por hecho que si la tiene el server.


Saludos
MImasol
perezjodido
17-12-2008, 20:18
Muchas gracias :)
SxR
17-12-2008, 23:36
Cmo mimasol te apunta, no te preocupes, seguro que vuelves mañana a la web y está todo ok de nuevo.

Además, creo que deberías enviar ese mail al admin, pq si no, puede que vuelvan a tener un problema similar cada 5 minutos y no les va a compensar... o por lo menos que eliminen el usuario 'anonym' de la bd :D
gondar_f
20-12-2008, 12:57
La culpa es de ellos, eso es negligencia por su parte... mientras no usaras herramientas no es delito, simplemente pusiste una dirección en el navegador, si eso fuera criminalizable probablemente estaríamos todos en la carcel.

Un Saludo