Нарушаю ли я закон сканируя сайт который участвует в bug bounty?

Question

[Chvalov]

Нарушаю ли я закон сканируя сайты на уязвимости которые участвуют в bug bounty программах ?
И нарушаю ли я если сканирую сайты которые уже не участвуют или не участвовали в bug bounty ?

Answer 1

[АртемЪ]

Нарушаете во всех случаях, если это явно не разрешено вам владельцем сайта.
Т.е если у вас есть разрешение от владельца - никакого нарушения нет, у вас правомерный доступ.
Если разрешения нет - доступ неправомерный, статья 272 УК со всеми вытекающими.

Разрешение может быть опубликовано в любой форме. Хотя если возникнут вопросы, и придется доказывать свою правоту, желательно иметь разрешение в письменной форме.

Answer 2

[Dmitry K]

Как правило веб-приложения, участвующие в программах бб, не принимают репорты от автоматических средств анализа защищенности, но использовать их для поиска и последующей интерпретации результатов можно.
Что касается сканирования ресурсов, которые нигде не заявили о своем участи в бб программах, ну тут все довольно просто - мне нравится такая аналогия:
Представьте группу людей, которая ходит по подъезду и дергает за ручки входные двери в квартиры, осматривает замки, пытается засунуть туда отмычки - грабить они никого не хотят, просто проверяют замки на надежность! :)

Answer 3

[Eugene Burmakin]

Как правило, участники баг баунти четко прописывают в своих правилах, можно ли использовать автоматические инструменты для выявления уязвимостей.

Answer 4

[Fixid]

Во многих bug bounty четко прописаны адреса и диапазоны доступные для поиска уязвимостей, все остальное на ваш страх и риск.