https://www.insidesql.org/blogs/andreaswolter/?disp=comments en-EU http://backend.userland.com/rss 60 Wed, 27 Nov 2013 19:37:53 +0000 andreaswolter [Member] c3349@https://www.insidesql.org/blogs/ Hallo Daniel, da steht ja extra "so noch nicht dokumentiert oder..." ;-) Ich habe diesen Sommer (also 2013), als ich diese Varianten entwickelt habe selbstverständlich ausführlich danach gesucht und auch in einigen Gruppen gefragt. Ich habe keinen angetroffen, der die Dinge, von denen ich rede, schon mal gesehen hat. Das muss nichts heissen, richtig. Aber groß bekannt wird es kaum sein, wenn es keinem der mir bekannten SQL Server Spezialisten schon so als Angriffsvariante bekannt war. Es grüßt, Andreas PS: Wenn es darauf einen Hinweis gibt, wäre ich sehr interessiert. Die Frage nach einer offiziellen Bezeichnung steht ja noch im Raum und ist nicht geheim. :-) Also ganz konkret: wenn Du etwas weisst, lass es mich wissen. Ich bin für jeden konkreten Hinweis dankbar. https://www.insidesql.org/blogs/andreaswolter/2013/11/where-are-the-scripts-to-sql-server-attacked-hacking#c3349 Wed, 27 Nov 2013 19:21:35 +0000 daniel [Visitor] c3348@https://www.insidesql.org/blogs/ hallo Andreas, [quote] ich zeige darin unter anderem Angriffsvarianten und Techniken, die so noch nicht dokumentiert oder in der „Szene“ bekannt sind. [/quote] Du glaubst aber nicht wirklich enrsthaft, dass diese nicht in der Szene schon bekannt sind ? https://www.insidesql.org/blogs/andreaswolter/2013/11/where-are-the-scripts-to-sql-server-attacked-hacking#c3348 Wed, 27 Nov 2013 13:17:19 +0000 Frank Geisler [Visitor] c3347@https://www.insidesql.org/blogs/ Hallo Andreas! Ich sehe das ganz genau so wie Du. Grundsätzlich ist es eine schlechte Idee die Scripte zu veröffentlichen, da man so den "Script-Kiddies" nur noch mehr "Munition" liefert. Ich fand Deinen Vortrag sehr gut und im Endeffekt hast Du gezeigt wie es prinzipiell geht. Jeder der genügend Fachwissen bzgl. SQL Server hat kann mit Deiner Anleitung selbst solche Scripte entwickeln wenn er sie den unbedingt haben muss. Außerdem lernt man beim Selberschreiben von derartigen Scripten natürlich auch viel mehr als wenn man einfach stumpf Deine Scripte nimmt und die dann in die nächste Web-Eingabemaske pastet die einem über den Weg läuft... ;-). Außerdem sollten die Scripte bei gut gesicherten SQL-Servern eh nicht funktionieren. Alles in allem war das gestern Abend ein sehr gelungener Vortrag zu einem spannenden Thema. Noch mal vielen Dank auch auf diesem Wege... Viele Grüße Frank P.S.: das mit Twitter und dem Diskussionsmedium stimmt! https://www.insidesql.org/blogs/andreaswolter/2013/11/where-are-the-scripts-to-sql-server-attacked-hacking#c3347