Quali sono le conseguenze penali per una scansione passiva o attiva su una WebApp senza danni? [chiuso]

4

Diciamo che mi fido solo delle applicazioni web che mi sono messo alla prova con alcuni test di penetrazione. Quali conseguenze penali esistono per eseguire una scansione passiva (ad esempio la creazione di una mappa di un sito Web) o una scansione attiva per vulnerabilità (con SQLMap o ZAProxy per esempio) senza chiedere il suo proprietario e danneggiando nulla? Il proprietario del sito potrebbe caricarmi di nient'altro che le prove che volevo trovare vulnerabilità? Posso essere multato quando nessun danno è stato fatto? Quello che ho trovato online è molto specifico per ogni caso e nonostante il solito " Chiedi sempre al proprietario del sito Web la sua approvazione prima di testare ", non ho trovato nessun caso di persone incaricate di eseguire la scansione di un'applicazione.

    
posta Shashimee 29.05.2017 - 11:45
fonte

3 risposte

5

Soprattutto da quando hai parlato della Francia: è illegale accedere, modificare, mantenere la tua presenza o eliminare informazioni in sistemi a cui non sei autorizzato a farlo.

Inoltre, il tentativo di compiere un simile atto è punibile come se lo avessi fatto (indipendentemente dal successo ottenuto).

Ci si può aspettare qualcosa come: 150k euro, 5 anni di carcere (come menzionato su Légifrance )

In generale, la regola si applica in modo diverso a seconda del paese da cui stai attaccando e del paese in cui stai attaccando, potresti essere ritenuto responsabile in più giurisdizioni o giurisdizioni diverse dalla tua. Chiedi a un esperto.

Per quanto riguarda l'ultima parte del tuo post, non avere nessuno condannato per qualcosa non significa che sia legale, o che nessuno verrà condannato. In questo caso, potrebbe essere troppo costoso, o difficile da perseguire, ma potrebbe cambiare.

    
risposta data 29.05.2017 - 12:04
fonte
3

Nel mondo ideale, tutte le applicazioni web / web hanno una politica che si occupa del ricercatore / ricercatore di sicurezza, dei termini di divulgazione delle informazioni laiche e di come affrontarli.

Tuttavia, siamo in un mondo non ideale. Poche organizzazioni hanno politiche del genere, quindi è davvero un'idea grigia. Ironia della sorte, il ricercatore può ottenere una lettera di avvertimento da un avvocato carico e una compagnia paranoica al momento di chiedere; mentre alcune aziende con PR dannose apprezzeranno le "opere gratuite" condotte.

Alcune regole empiriche per la "ricerca" di pen-test:

  1. Anche se è raro, cerca sempre di individuare la "Durata dei servizi relativa al test analitico di sicurezza. Ad esempio, AWS ha una richiesta di test di penetrazione .

  2. Sii educato, non fare il sito. Un test della penna non è un test di capacità DoS.

  3. Studia la guida per un'appropriata metodologia di test delle penne prima di procedere .

  4. NON PUBBLICARE la vulnerabilità del sito web pubblicamente senza consenso. Anche se gli hacker Blackhat potrebbero già mettere le mani su quei siti web. Prova a inviare una gentile email e tutti i tuoi lavori di ricerca per proteggere la tua terra, nel caso in cui diventi brutto.

  5. Per testare le vulnerabilità di webapps di opensource, installa il tuo ambiente di test (sia usando VM, container, ecc.). Per le app proprietarie, puoi inviare il rapporto all'organizzazione ufficiale che monitora l'exploit. Si può anche guadagnare qualche soldo da un programma di caccia agli insetti della compagnia.

Riguardo al problema della legge, dipende dal paese. La maggior parte dei paesi ha una legge penale contro l'hacking (che include il pen-test senza consenso). Dal momento che può ostacolare la ricerca, in alcuni paesi esiste una legge equivalente che consente di condurre ricerche. Mentre alcuni lo hanno semplicemente trattato come "un occhio vicino", purché il tuo pen-test non abbia superato la "linea criminale" (ad esempio, DoS un sito prominente)

    
risposta data 29.05.2017 - 12:04
fonte
0

Direi per la scansione passiva, non dovrebbe accadere nulla a te. O Google è stato arrestato? : P Per la scansione attiva in cui verificherebbe i servizi per le vulnerabilità (o tenterai attivamente di testare qualche tipo di exploit) sarebbe un problema ovunque nel mondo. Per tali azioni è sempre meglio avere un accordo scritto da parte del fornitore di servizi, in caso qualcuno ti accusasse di aver appena affermato di averlo.

    
risposta data 29.05.2017 - 12:54
fonte

Leggi altre domande sui tag