Archief - De topics van lang geleden

web application hacking

26-12-2003, 18:05 door Andrew, 3 reacties
In een topic hieronder las ik het volgende:

Iemand die opzettelijk en wederrechtelijk binnendringt in een
beveiligd computersysteem, kan daarvoor tot zes maanden
gevangenisstraf krijgen. Als hij daarna gegevens van die computer steelt,
kan dat oplopen tot vier jaar. Belangrijk is hier dat het systeem beveiligd
moet zijn. Wie via een Website pagina's met informatie opvraagt, is niet
strafbaar. Maar het raden van een wachtwoord, of het kraken van het
programma dat de toegang regelt, is ``doorbreken van de beveiliging'' en
wie zo dus op andermans computer binnenkomt, is strafbaar.

In hoeverre is het dan strafbaar om een systeem via het 'web application
layer' te 'hacken'? Als voorbeeld... horizontal privilege escalation; switchen
van jou account in het systeem naar die van je buurman. Of het doorgeven
van commando's aan de achterliggende database...

Hoe ver staat het trouwens met die europese wet die zelfs het (remote)
auditen van netwerken verbiedt?

Alvast bedankt,

Andrew
Reacties (3)
26-12-2003, 23:26 door Anoniem
Kun je wat duidelijker zijn over "application layer hacken'" wat doe je dan
precies ? Dito "remote auditen van netwerken"

Alle nederlandse wetten zijn te vinden bij:
http://wettenbank.sdu.nl/cgi-bin/login/anonymous
Ik denk dat je bij het WvSr (wetboek van strafrecht) moet zijn, kijk eens bij
artikel 138a lid 1 sub b:
"1. Met gevangenisstraf van ten hoogste zes maanden of geldboete van de
derde categorie wordt, als schuldig aan computervredebreuk, gestraft hij
die opzettelijk wederrechtelijk binnendringt in een geautomatiseerd werk
voor de opslag of verwerking van gegevens, of in een deel daarvan, indien
hij
......
b. de toegang verwerft door een technische ingreep, met behulp van valse
signalen of een valse sleutel dan wel door het aannemen van een valse
hoedanigheid.
......
27-12-2003, 00:02 door Andrew
met Web Application Layer hacken bedoel ik het indringen van
webservers/application servers/database door middel van een web
application. wat in principe op elke (database driven) website draait. deze
site (dit forum) is hier een voorbeeld van. amazon.com... worldwager.com...

De 'officiele' definitie van OWASP is:

"A web application or web service is a software application that is
accessible using a web browser or HTTP user agent. It typically consists of
a thin-client tier (the web browser), a presentation tier (web servers), an
application tier (application severs) and a database tier. The application
may be spread over multiple presentation tiers and indeed use multiple
application tiers, using multiple database sources".

met Remote Network Auditing bedoel gewoon het auditen van een netwerk
of webserver vanaf een afstand, dus niet op locatie. een tijdje geleden las
ik ergens dat er in brussel een voorstel lag om ook dit te verbieden... (in
feite door ook een simpele portscan te verbieden, en alle andere
technieken die nu legaal zijn (totaan het hacken zelf)).


http://www.owasp.org/index
27-12-2003, 00:03 door Andrew
http://www.securityfocus.com/archive/107
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search