Legalità degli exploit di scrittura a scopo didattico (USA, Canada) [chiuso]

Non so sulla CFAA in particolare, ma le buone linee guida generali per i test di penetrazione didattica o esplorativa sono:

1. Attacca solo i server che controlli o se sei autorizzato ad attaccare. Ad esempio, alcune persone lasciano siti Web con vulnerabilità note in modo che altri possano "esercitarsi con l'hacking" su di essi. Questi siti di solito hanno un disclaimer che ti dà espressamente il permesso di attaccarli. Senza questo disclaimer, puoi avere grossi problemi per l'avvio di un attacco su un dominio che non controlli.
2. pubblica gli exploit solo per vulnerabilità note (e patchate) . Se stai giocando con exploit che sono già stati pubblicati su riviste accademiche / conferenze, o sono altrimenti noti, allora sei probabilmente ok a postarlo su internet, specialmente se è disponibile una patch. Tuttavia, se scopri un nuovo exploit o non sei sicuro se è nuovo, allora è meglio passare attraverso i canali ufficiali e avvisare i venditori prima di rendere pubblico qualcosa.

EDIT:

Il OWASP WebGoat Project esiste specificamente per affrontare il problema (1.) :

WebGoat is a deliberately insecure web application maintained by OWASP designed to teach web application security lessons.

Puoi scaricare e installare i pacchetti WebGoat sul tuo computer e poi eseguire tutti gli attacchi che vuoi!

Se hai forti dubbi su issue (2.) e sulla pubblicazione, puoi sempre metterti in contatto con il tuo capitolo OWASP locale e chiedere loro.