Нашел уязвимость на одном из сайтов после чего загорелся желанием сообщить об этом разработчикам этого сайта. Пришел к мнению, что написать PoC эксплоит и отправить его разработчикам этого сайта будет лучшим решением.
Но возник главный и основной вопрос который мешает мне это сделать - насколько законно написание эксплоитов в благих целях в РФ? Ведь насколько я знаю, для привлечения к ответственности должен быть злой умысел, которого у меня нет....
Лучше всего поискать скольким людям прилетело после таких вот благих намерений... и перегореть :) Не стоит овчинка выделки, вот ей-Богу. Особенно, если контора эта - не ИТ-шная.
Может стоит попробовать как-то так:
1. Сделать официальное письмо, типа я являюсь специалистом в области ... на вашем ресурсе нашёл ... чем это грозит для вас... Со мной можно связаться .... Стоимость услуг по устранению .... составит ...
2. Если дали официальное письменной согласие.
3. Заключили договор.
4. Получили деньги.
5. Вы сделали свою работу.
6. Все довольны.
Важно. Все действия только в рамках юридически правильного договора и оформления всех отношений.
Если поступить иначе - думаю будет плачевная ситуация...
Маленький камушек... как только вы сделаете ваше предложение, вы стали объектом в первой очереди в случае краха сайта (и не важно какая именно там была уязвимость).
Точно. Кто его знает, какая там внутренняя кухня. Добро, если сайт делал пришлый чувак или чел, который уже уволился. А если нет? А если его делал(а) родственник или подружка учредителя? Тут можно влипнуть пол самые уши...
Средний
