La legalità del pentimento senza permesso dipende dal suo successo? [chiuso]

Naviga le tue risposte
0

Se apro la pagina indice di un sito Web completamente casuale (che non ho un contratto preliminare da testare), mi trovo a visualizzare informazioni sensibili causate da un errore webapp, ad esempio errori SQL. Questo non dovrebbe essere il mio problema, perché non intendevo vederlo e non è colpa mia.

Mettiamola così. La mia richiesta ora è HTTP GET /index.php?image=../../../etc/hosts per vedere la mia foto cat preferita. Sembra "più illegale"?

In entrambi i casi ho avuto accesso a informazioni che non erano destinate a condividere senza previa autorizzazione. Quindi, cosa differenzia la normale navigazione e la ricerca di vulnerabilità se tecnicamente non puoi sapere quali dati verranno restituiti dal server web?

    
posta Rápli András 10.02.2017 - 21:46
fonte

1 risposta

2

Quindi la risposta precisa dipenderà dalla giurisdizione in cui ti trovi e dalle precise leggi sul crimine informatico in vigore in quella giurisdizione, tuttavia un punto generale può essere fatto sull'esempio fornito.

Inserendo un sito Web su Internet e non proteggendolo dall'accesso, è discutibile che questa è una dichiarazione di intenti per il pubblico a rendere disponibile il contenuto del sito. Se ci pensi come fai a sapere che i proprietari di qualsiasi sito che hai visitato intendevano che le informazioni fossero pubblicamente accessibili, non lo fai, quindi la presunzione è che l'accesso alla pagina di base sia consentito.

L'esempio che hai come seconda parte è chiaramente un attacco di directory trasversale destinato ad accedere a un file che in genere non dovrebbe essere reso pubblico. La difesa di "Pensavo che ../../etc/hosts fosse una foto del mio gatto" è molto improbabile che sia accettabile per un tribunale.

Un esempio di area più grigia sarebbe qualcosa come un caso in cui è consentito accedere a http://somesite.com/document?itemid=4000 ma non a http://somesite.com/document?itemid=4001

    
risposta data 10.02.2017 - 22:08
fonte

Leggi altre domande sui tag

Cookie hijcaking bypassando l'autenticazione? Differenza tra filtri firewall con stato e senza stato