Situazione ipotetica: prima di assumere un'azienda di sviluppo web voglio testare la loro capacità di progettare app web sicure visualizzando i siti web dei loro precedenti clienti.
Problema: questa situazione solleva una grande bandiera rossa: per quanto riguarda la visualizzazione di un sito Web, che cosa è e non è all'interno della larghezza della legge? O in altre parole: a che punto è possibile sborsare un sito web ?
- Visualizza sorgente con Firebug? Naturalmente sarebbe legale.
- Ma cosa succede se cambio HTML (come un valore nascosto del modulo prima dell'invio)?
- Forse poi modificherò o rimuoverò JavaScript, come uno script di convalida lato client. Sarebbe legale?
- Che cosa succede se inserisco% 3Cscript% 3Ealert (1)% 3C / script% 3E alla fine dell'URL.
- O forse scrivo l'URL: example.com/scripts/ e sono in grado di visualizzare la loro directory a causa di impostazioni di autorizzazione errate?
- Che cosa succede se modifico i dati trasmessi nelle intestazioni HTTP, ad esempio un prezzo / prezzo del prodotto negativo per verificare se eseguono la convalida sul lato server (naturalmente, non eseguirò il checkout).
Per me, tutto ciò sembra perfettamente innocuo perché:
- Non sto causando eccessivo stress al loro server tramite spamming, mirroring del sito con wget o immissione di SQL potenzialmente pericoloso.
- Non sto causando alcuna perdita potenziale o danno monetario, perché non sfrutterò mai le vulnerabilità, solo test per la loro esistenza (proof of concept).
- Nessuna delle mie azioni avrà alcuna implicazione per la privacy dei dati degli utenti. In nessun modo nessuna delle mie azioni potrebbe rivelare informazioni riservate o private su nessuno.
- Se trovassi qualcosa, notificherei immediatamente al webmaster l'exploit potenziale in modo da poterlo correggere.
Ma anche se sono logicamente in grado di giustificare le mie ragioni per testare il sito, questo non rende necessariamente le mie azioni legali. In effetti, le leggi cibernetiche sono notoriamente arretrate negli Stati Uniti, e anche le azioni più banalmente futili possono essere considerate hacker.
Domande: C'è una linea definita nella sabbia che separa l'hacking illegale da "test senza permesso"? O è l'intero scenario una zona grigia che dovrei evitare (probabilmente il caso). Esistono risorse online collegabili che potrebbero ampliare le mie conoscenze in quest'area totalmente grigia? Quali sono le specifiche leggi o leggi che gestiscono questo?
Si prega di tenere presente che la scelta più logica numero uno sarebbe semplicemente quella di chiedere permessi. Tuttavia, a causa dei limiti di tempo pesanti , nel momento in cui riceverei il permesso sarebbe tutto inutile.