Задать вопрос
@Pavel_An
юриспруденция

Можно ли тестировать чужие сайты на наличие уязвимостей?

Является ли преступным деянием тестирование чужих сайтов без согласия на наличие SSI или XSS уязвимостей (если не было оказано вреда в отношении проекта, понятное дело)?
  • Вопрос задан
  • 342 просмотра
Комментировать
Подписаться 2 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 5
vabka
@vabka
УК РФ 272 часть 1 не зависит от наличия ущерба:
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

Тоесть если ты смог получить доступ к какой-то непубличной информации и скопировал её к себе (даже непреднамеренно - просто в кэш браузера попало), то тут уже есть состав преступления.

Если ты ещё для этого создал вирус, то тут ещё статья 273 подключается.
Если атаковал критическую инфраструктуру рф, то это статья 274.1

Единственный правомерный вариант - заранее договориться с организацией, которую ты собираешься атаковать (в рамках bug bounty например)
Ответ написан
1 комментарий
1 комментарий
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Без согласия - нет, конечно же. Тут же на УК РФ 272.1 попадаешь (а если тяму хватило "протестировать" обьект КИИ - то на УК РФ 274.2).

Если сайт обьявляет баг баунти - можно, но осторожно :) Были случаи, когда вместо вознаграждения исследователь получал дело :) Гарантированно можно только по договору тестирования.
Ответ написан
2 комментария
2 комментария
DmitriyEntelis
@DmitriyEntelis
Думаю за деньги
Я бы сказал что если есть явная bug bounty программа - то можно.
Если нет - я бы сказал что в РФ это серая зона. Гипотетически натянуть можно кого угодно, практически всем лень этим заниматься.
Ответ написан
4 комментария
4 комментария
@Drno
В нормальном мире нет. Но в последнее время очень много зависит от компании, где нашлось, и страны (
Ответ написан
Комментировать
Комментировать
saboteur_kiev
@saboteur_kiev
software engineer
В России были случаи, когда наказывали, даже если ты делал багрепорт в существующую bug bounty, поэтому это довольно опасная штука, и всегда следует предохраняться, если совершаешь нелегальные действия.
Разница в white hat и black hat только в том, что белые продают взломы в баг баунти, черные - на черный рынок. Но оба действия подпадают под преступные.

В мире, зачастую white hat могут довольно успешно зарабатывать на баг баунти программах, но конечно в идеале немного защищаться. Опять же могут обмануть и не заплатить.

Ну а официальные пентестеры делают все после заключения договора.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Motion Designer (Моушн-дизайнер)
BELT
от 65 000 ₽
Flutter Developer MIDDLE
BELT
от 70 000 ₽
PHP-разработчик (middle backend php developer)
ООО "М+1" Новосибирск
от 120 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Реализовать аналитику для Telegram ADS
21 нояб. 2024, в 19:09
5000 руб./за проект
Проектирование WEB ПО и составление ТЗ
21 нояб. 2024, в 17:47
7000 руб./за проект
Разработчика на opencart
21 нояб. 2024, в 17:30
1500 руб./за проект
Ещё заказы