Pavel_An

Без согласия - нет, конечно же. Тут же на УК РФ 272.1 попадаешь (а если тяму хватило "протестировать" обьект КИИ - то на УК РФ 274.2).

Если сайт обьявляет баг баунти - можно, но осторожно :) Были случаи, когда вместо вознаграждения исследователь получал дело :) Гарантированно можно только по договору тестирования.

В России были случаи, когда наказывали, даже если ты делал багрепорт в существующую bug bounty, поэтому это довольно опасная штука, и всегда следует предохраняться, если совершаешь нелегальные действия.
Разница в white hat и black hat только в том, что белые продают взломы в баг баунти, черные - на черный рынок. Но оба действия подпадают под преступные.

В мире, зачастую white hat могут довольно успешно зарабатывать на баг баунти программах, но конечно в идеале немного защищаться. Опять же могут обмануть и не заплатить.

Ну а официальные пентестеры делают все после заключения договора.

В нормальном мире нет. Но в последнее время очень много зависит от компании, где нашлось, и страны (

Я бы сказал что если есть явная bug bounty программа - то можно.
Если нет - я бы сказал что в РФ это серая зона. Гипотетически натянуть можно кого угодно, практически всем лень этим заниматься.