@Pavel_An

Можно ли тестировать чужие сайты на наличие уязвимостей?

Является ли преступным деянием тестирование чужих сайтов без согласия на наличие SSI или XSS уязвимостей (если не было оказано вреда в отношении проекта, понятное дело)?
  • Вопрос задан
  • 236 просмотров
Пригласить эксперта
Ответы на вопрос 5
vabka
@vabka
Токсичный шарпист
УК РФ 272 часть 1 не зависит от наличия ущерба:
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

Тоесть если ты смог получить доступ к какой-то непубличной информации и скопировал её к себе (даже непреднамеренно - просто в кэш браузера попало), то тут уже есть состав преступления.

Если ты ещё для этого создал вирус, то тут ещё статья 273 подключается.
Если атаковал критическую инфраструктуру рф, то это статья 274.1

Единственный правомерный вариант - заранее договориться с организацией, которую ты собираешься атаковать (в рамках bug bounty например)
Ответ написан
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
Без согласия - нет, конечно же. Тут же на УК РФ 272.1 попадаешь (а если тяму хватило "протестировать" обьект КИИ - то на УК РФ 274.2).

Если сайт обьявляет баг баунти - можно, но осторожно :) Были случаи, когда вместо вознаграждения исследователь получал дело :) Гарантированно можно только по договору тестирования.
Ответ написан
DmitriyEntelis
@DmitriyEntelis
Думаю за деньги
Я бы сказал что если есть явная bug bounty программа - то можно.
Если нет - я бы сказал что в РФ это серая зона. Гипотетически натянуть можно кого угодно, практически всем лень этим заниматься.
Ответ написан
@Drno
В нормальном мире нет. Но в последнее время очень много зависит от компании, где нашлось, и страны (
Ответ написан
Комментировать
saboteur_kiev
@saboteur_kiev
software engineer
В России были случаи, когда наказывали, даже если ты делал багрепорт в существующую bug bounty, поэтому это довольно опасная штука, и всегда следует предохраняться, если совершаешь нелегальные действия.
Разница в white hat и black hat только в том, что белые продают взломы в баг баунти, черные - на черный рынок. Но оба действия подпадают под преступные.

В мире, зачастую white hat могут довольно успешно зарабатывать на баг баунти программах, но конечно в идеале немного защищаться. Опять же могут обмануть и не заплатить.

Ну а официальные пентестеры делают все после заключения договора.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы