Dov'è la linea? [chiuso]

2

Un commento pubblicato su una delle mie domande l'altro giorno ha sollevato una domanda nella mia testa. So che molti amministratori di siti apprezzano gli utenti che segnalano bug e falle di sicurezza e, come utente, apprezzo le persone che fanno questo. Cerco spesso di trovarli e segnalarli in siti e app a cui uso frequentemente o dati sensibili alla mano. Sono ragionevolmente sicuro che questi siti andrebbero bene con me testare cose davvero innocue come XSS riflesse e simili, ma dov'è la linea? Quanto è etico testare senza permesso? È etico testare il sito per le vulnerabilità di SQL injection se non estraggo effettivamente i dati? C'è una differenza tra ciò che la legge consente e quali amministratori del sito ti ringrazieranno? Qual è il modo migliore per chiedere a un amministratore del sito quale è la loro opinione su questo senza spaventarli?

    
posta 735Tesla 16.02.2014 - 15:14
fonte

2 risposte

3

In un corso di pentesting per le app Web che ho seguito di recente, l'istruttore ha opinato che qualsiasi cosa tu possa fare passivamente - guardando la fonte originale che il server e il client si scambiano, senza cambiare nulla - è sull'etica lato della linea. Non appena hai inserisci stringhe "dannose" (come test di SQL injection, anche quelli che non estraggono dati) o alter (aggirando la convalida lato client, per esempio) sei dall'altra parte della linea e dovresti avere il permesso prima di farlo.

(E se sei intelligente o professionale, il permesso dovrebbe essere documentato )

(Esiste una mappatura da 13 a 47 tra ciò che la legge consente e ciò che gli amministratori di sistema approvano e la mappatura si sposta regolarmente)

    
risposta data 16.02.2014 - 15:50
fonte
2

Sono d'accordo con gowenfawr. La sfortunata verità è che i test di penetrazione e le analisi dei bug fanno più male che bene in molti casi, anche quando li stai facendo accidentalmente. Le leggi non sono ancora state prese, quindi potresti andare in prigione solo per cercare di aiutarti. Forse tra un paio di decenni, quando ci sono più legislatori e dirigenti della fortuna 500 che hanno imparato ad accendere un computer rispetto a quelli che non lo hanno fatto, non dovrai fare questa domanda (anche se sei ancora vivo in quel momento :.))

    
risposta data 16.02.2014 - 17:17
fonte

Leggi altre domande sui tag