Sto facendo test su alcuni siti web e ho riscontrato alcuni bug gravi in quei siti.
Non sono sicuro che sia legale o meno.
- È mai legale?
- Come faccio a sapere se è legale dove vivo?
- Che cosa posso fare per assicurarmi di essere protetto legalmente?
Sto facendo test su alcuni siti web e ho riscontrato alcuni bug gravi in quei siti.
Non sono sicuro che sia legale o meno.
La legalità dipende dal paese ... ma, in generale, fare test su siti Web di proprietà di altre persone senza il loro consenso è disapprovato e può metterti in un sacco di problemi legali.
Alcuni proprietari di siti sarebbero felici di apprendere i loro difetti di sicurezza e ti ringraziamo calorosamente. Molti altri la penseranno come un tentativo di ricatto sottilmente camuffato, quindi chiamerai i poliziotti e ti scacceresti vivo.
Non sono un avvocato in alcuna forma o forma, sei responsabile delle tue azioni.
La risposta è, dipende. Innanzitutto dipende da quale paese vivi e dalle leggi locali. Inoltre, se si inviano dati al server è molto più probabile che sia illegale (Test per l'iniezione SQL, memorizzato / riflesso xss, ecc.) Piuttosto che se si eseguono solo analisi statiche su javascript, notando che non hanno un token CSRF su una transazione sensibile, notando che hanno un set di cifratura debole nel proprio SSL o qualsiasi tipo di test sul lato client. Ad esempio, il reverse engineering è legale ai sensi della legge statunitense, (tuttavia esistono eccezioni in caso di DMCA o accesso non autorizzato) ma nel momento in cui invii un pacchetto non valido al server per vedere la risposta, hai violato il CFAA.
Leggi altre domande sui tag legal web-application penetration-test