Vor einem Monat habe ich einen “Briefträger” (WebCodeKot) angemailt und ihn auf seine Dummheit in JavaScript hingewiesen. “Ich werde Ihm jetzt mal eine E-Mail senden, mal schauen wie er reagiert,…” Reaktion: keine, auch die dummen Scripte hat er nicht geändert.

Eine bekannte Newsseite hat auch so ihre Probleme. Vor einem Monat fand ich einen Fehler auf der WebSite: man kann Kommentare auf Artikel hinterlassen die es nicht gibt. Man klickt auf “Kommentar schreiben” und ändert dann in der URL etwas und schon kann man eine Nachricht hinterlassen, auf die auch wieder geantwortet werden kann. Diese Kommentare können nur von jemanden gelesen werden der die URL kennt. Man kann diesen Fehler schön mißbrauchen um ein eigenes, geheimes Forum aufzubauen. ;O) Den Jungs mailte ich den Fehler und bekam auch prompt eine Antwort, daß das CMS schon etwas älter wäre und ein neues in Arbeit ist.

Vor etwas mehr als einer Woche fand ich, auf der gleichen Seite, einen sehr viel schwerwiegenderen Fehler. Im Bilderverzeichnis steckt ein Formular drin, mit dem ich Dateien hochladen kann. Dieses Formular ist nicht passwortgeschützt, es ist nicht gerade schwer zu finden und es ist dumm wie hundert Meter Feldweg bzw. der der es verbrochen hat.

Als erstes habe ich nur mit Bildern experimentiert, habe in bestehenden Artikeln die Bilder ausgetauscht, was ich natürlich wieder rückgängig gemacht habe. Dann habe ich dem gleichen, der auf meine erste Mail geantwortet hatte, geschrieben. Reaktion: keine.

Weitere Experimente ergaben das auch PHP-Dateien hochgeladen werden können. Per PHP kann ich dann alles auf dem Server anstellen was ich will, Dateien auslesen – also den Quellcode anschauen, Dateien löschen, verschieben, umbenennen, etc., eben alles was man per PHP auf einem Server anstellen kann. Ich kann natürlich auch auf andere Verzeichnisse als das der Bilder zugreifen. Das Perfide an dem Fehler ist, das ich eine PHP-Datei hochladen kann, das Script starte, irgendwelche Aktionen ausführen lasse und am Ende des Scripts, die PHP-Datei selber wieder lösche – das Script löscht sich also selber, nach getaner Arbeit. Mit dem Verwischen der Spuren mache ich es dem WebMaster natürlich etwas schwerer herauszufinden was ich gemacht habe. Dann habe ich den Jungs nochmal eine Mail geschrieben, diesmal wieder an die allgemeine E-Mail-Adresse, mit der Annahme das der direkte Kontaktmensch einfach nur im Urlaub ist. Reaktion: keine. Der Kontaktmensch ist aber nicht im Urlaub wie es aussieht, da täglich neue Artikel veröffentlicht werden, die sein Kürzel tragen.

Wenn ich etwas mehr kriminelle Energie hätte, dann würde ich evtl. auch Passworte rausbekommen, von der Datenbank und von den Logins der Mitarbeiter. Da die meisten Menschen sehr sehr faul sind was Passworte angeht, also immer wieder das gleiche Passwort benutzen, könnte ich vielleicht mit den Logindaten deren E-Mails lesen, für sie etwas bei eBay ersteigern oder verkaufen, usw. usw.

Bösere Jungs die den Fehler finden werden etwas mehr Unfug damit anstellen. Dann wird es sicher in der Presse wieder heißen daß das Internet generell unsicher ist usw. usw. Das aber die Unsicherheit durch die Ignoranz der Verantwortlichen gefürdert wird, wird kaum jemand schreiben.