Нарушаю ли я закон сканируя сайт который участвует в bug bounty?

Нарушаю ли я закон сканируя сайты на уязвимости которые участвуют в bug bounty программах ?
И нарушаю ли я если сканирую сайты которые уже не участвуют или не участвовали в bug bounty ?
  • Вопрос задан
  • 1821 просмотр
Пригласить эксперта
Ответы на вопрос 4
Jump
@Jump
Системный администратор со стажем.
Нарушаете во всех случаях, если это явно не разрешено вам владельцем сайта.
Т.е если у вас есть разрешение от владельца - никакого нарушения нет, у вас правомерный доступ.
Если разрешения нет - доступ неправомерный, статья 272 УК со всеми вытекающими.

Разрешение может быть опубликовано в любой форме. Хотя если возникнут вопросы, и придется доказывать свою правоту, желательно иметь разрешение в письменной форме.
Ответ написан
Комментировать
gospodinmir
@gospodinmir
Security analyst
Как правило веб-приложения, участвующие в программах бб, не принимают репорты от автоматических средств анализа защищенности, но использовать их для поиска и последующей интерпретации результатов можно.
Что касается сканирования ресурсов, которые нигде не заявили о своем участи в бб программах, ну тут все довольно просто - мне нравится такая аналогия:
Представьте группу людей, которая ходит по подъезду и дергает за ручки входные двери в квартиры, осматривает замки, пытается засунуть туда отмычки - грабить они никого не хотят, просто проверяют замки на надежность! :)
Ответ написан
Комментировать
Freika
@Freika
Senior Ruby on Rails developer
Как правило, участники баг баунти четко прописывают в своих правилах, можно ли использовать автоматические инструменты для выявления уязвимостей.
Ответ написан
Комментировать
@Fixid
Во многих bug bounty четко прописаны адреса и диапазоны доступные для поиска уязвимостей, все остальное на ваш страх и риск.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы