Можно ли тестировать чужие сайты на наличие уязвимостей?

Question

[Pavel_An]

Является ли преступным деянием тестирование чужих сайтов без согласия на наличие SSI или XSS уязвимостей (если не было оказано вреда в отношении проекта, понятное дело)?

Answer 1

[Дмитрий Энтелис]

Я бы сказал что если есть явная bug bounty программа - то можно.
Если нет - я бы сказал что в РФ это серая зона. Гипотетически натянуть можно кого угодно, практически всем лень этим заниматься.

Comments

[Pavel_An]

XSS сюда тоже относится? Там ведь факта проникновения особо нет.

[Василий Банников]

Pavel_An, С точки зрения закона - разницы нет.

[Дмитрий Энтелис]

Pavel_An, Вообще это 28 глава УК РФ, например 272 статья

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, 
наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

Формально если вы например sql иньекцию нашли - это при желании можно натянуть на модификацию информации.

[Михаил Р.]

Дмитрий Энтелис,

Я бы сказал что если есть явная bug bounty программа - то можно.

Если есть нотариально заверенное bug bounty на несколько листов - условно, можно не сесть.

Answer 2

[Василий Банников]

УК РФ 272 часть 1 не зависит от наличия ущерба:

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

Тоесть если ты смог получить доступ к какой-то непубличной информации и скопировал её к себе (даже непреднамеренно - просто в кэш браузера попало), то тут уже есть состав преступления.

Если ты ещё для этого создал вирус, то тут ещё статья 273 подключается.
Если атаковал критическую инфраструктуру рф, то это статья 274.1

Единственный правомерный вариант - заранее договориться с организацией, которую ты собираешься атаковать (в рамках bug bounty например)

Comments

[Михаил Р.]

договориться с организацией

Пока на руках не будет письменного соглашения - виновен. Даже сформированный bug bounty можно растолковать на несколько лет курорта.

Answer 3

[CityCat4]

Без согласия - нет, конечно же. Тут же на УК РФ 272.1 попадаешь (а если тяму хватило "протестировать" обьект КИИ - то на УК РФ 274.2).

Если сайт обьявляет баг баунти - можно, но осторожно :) Были случаи, когда вместо вознаграждения исследователь получал дело :) Гарантированно можно только по договору тестирования.

Comments

[Pavel_An]

"Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации"
Но при XSS ничего из этого нет, там по большей части все на стороне клиента

[CityCat4]

Pavel_An, Ключевое слово - "копирование". Зашел на сайт - скопировал в кэш.
Ну и многое будет зависеть от толщины конторы, ее желания тебя окучить и наличия у нее грамотных юристов. А также, к сожалению, от того, что это за контора и как она соотносится с Минобороны (если соотносится)
Если ты будешь "тестить" сайт службы доставки пиццы в г. Урюпинске - это будет одно. Если же сайт швейной фабрики по пошиву военной формы в Подмосковье - будет сооовсем другое...

Answer 4

[Drno]

В нормальном мире нет. Но в последнее время очень много зависит от компании, где нашлось, и страны (

Answer 5

[Saboteur]

В России были случаи, когда наказывали, даже если ты делал багрепорт в существующую bug bounty, поэтому это довольно опасная штука, и всегда следует предохраняться, если совершаешь нелегальные действия.
Разница в white hat и black hat только в том, что белые продают взломы в баг баунти, черные - на черный рынок. Но оба действия подпадают под преступные.

В мире, зачастую white hat могут довольно успешно зарабатывать на баг баунти программах, но конечно в идеале немного защищаться. Опять же могут обмануть и не заплатить.

Ну а официальные пентестеры делают все после заключения договора.