Mi piace l'idea dell'hacking da cappello bianco. Ecco perché mi piacerebbe diventare un pentestore in futuro. Ma ora mi piace imparare un po 'e mi stavo chiedendo, se è legale cercare in SQL injection, XSS e altri elementi di base per le applicazioni web, con l'intenzione di segnalarli al webmaster .
Se questo è importante, vengo dalla Germania, abbiamo il cosiddetto "Hackerparagraph" (§ 202c StGB) che criminalizza il tentativo di entrare in un sistema o persino di sviluppare un tale codice / strumenti. In teoria, un'iniezione di successo sarebbe un crimine.
Ma cos'è, se questo è per una buona causa? Dovrei temere che l'amministratore riferisca la mia azione alla polizia?
E.g se scrivo all'amministratore un'email come questa:
Dear Admin,
I found a vulnerability for an SQL Injection on yout Page XXX. I had/have no intention to share this vulnerability with somone except you.
http://domain.de/site.php?cat=1&s_id=4818&p_id=13807&r_id=4&nr_id=647568+%27and+%271%27=%272%27+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,version(),7,8,9,0,1,2,3,4,5,6,7,8,9--+
I'd recommend you to [explain various things about security]. I hope this helps you and your company to guarantee the safety of yours and your customers.