Здравствуйте, так получилось последний год работал фрилансером (разработка сайтов и дизайн), но последнее время появилась необходимость в постоянной работе, нашел подходящую вакансию связанную с редактированием и продвижением одного портала моей области. Решил проверить его уязвимости (портал написан на самописном движке). Нашел пару уязвимостей с помощью которых можно получить доступ к некоторым функциям сайта. Стоит ли рассказывать про это на собеседование? (Работа не связана с безопасностью, но вакансия очень заманчивая из-за чего и взялся за дело) На сколько вообще законны мои действия? Я не из РФ, но законны схожи.
Конечно стоит. Действия формально не выглядят как законные, но связываться никто не будет, если вы ничего не поломали.
С вашими наклонностями вам нужно быть в резонансе с работодателем, поэтому стоит рассказать и посмотреть на реакцию. Если вас пошлют, то это будет неадекват, а с неадекватами работать не нужно.
Коллектив там вроде молодой, хорошо бы если просто послали, а вот если заявление подадут в органы. Я просто хотел узнать на сколько законы мои действия, я ведь их не взламывал, не ломал им сайт, а просто нашел ошибки в их коде. Ниже sim3x написал про письмо, наверное попробую написать. А про мои наклонности просто очень хочется получить данную работу, да и уже был прецедент с другим инф. порталом города когда школьники каким-то образом получили доступ и изменили данные об отмени занятий. Сайты очень старые и кардинально не меняются.
В цивилизованном мире (особенно в области Enterprise) есть такое понятие как Bug Bounty. Это когда вы находите уязвимости или баги, репортите это на мыло, и потом получаете вознаграждение. Несколько раз сталкивался с таким.
