Старый 25.12.2011, 11:09   #11
J.Simmons
 
Регистрация: 19.12.2011
Сообщений: 7
Репутация: 0
По умолчанию

Pashkela, в список цитат:
Цитата:
Ведь речь идет о тебе. Самом важном человеке в твоей жизни.
J.Simmons вне форума   Ответить с цитированием
Старый 25.12.2011, 16:41   #12
M_script
 
Регистрация: 06.07.2010
Сообщений: 113
Репутация: 33
По умолчанию

Вопрос по первому пункту.
"1. Если проверяешь сайт на уязвимости это законно?"

Цитата:
Сообщение от oRb
Если есть договоренности с владельцем ресурса, то это законно.
То есть, если я без договоренности с владельцем подставил на его сайте кавычку в запрос и таким способом обнаружил SQL-инъекцию, это уже незаконно?
А если я этой кавычкой не обнаружил никакой уязвимости, закон тоже нарушен? Я ведь проверил сайт на уязвимость.

Каким законом запрещено отправлять на сайт непредусмотренные разработчиком http-запросы?
И что, если уязвимость клиентская? Например, пассивная XSS. Она выполняется на моем компьютере, следовательно могу тестировать ее сколько угодно, это никому не навредит. Если не использовать против других людей, закон нарушается?
M_script вне форума   Ответить с цитированием
Старый 25.12.2011, 16:51   #13
exploit3602
 
Регистрация: 10.12.2011
Сообщений: 1
Репутация: 0
По умолчанию

M_script не знаю как обстоят дела с кавычками . но опираюсь на ук рф можно сказать следующее.
1) ты нашел уязвимость , формально это еще законно , но если ты ее эксплуатируешь и твое деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, то закон ты нарушил и тебя можно привлечь .
2) клиентскую xss ты можешь тестить сколько угодно . но если все это несет какое либо деструктивное последствие то ты нарушаешь закон
exploit3602 вне форума   Ответить с цитированием
Старый 25.12.2011, 17:42   #14
M_script
 
Регистрация: 06.07.2010
Сообщений: 113
Репутация: 33
По умолчанию

exploit3602, я поэтому и спросил. То, что атака на веб-приложение является преступлением, никаких сомнений не вызывает. Но судя по ответам в теме, поиск уязвимостей так же нарушает закон, непонятно только какой.


upd:
Еще хотелось бы узнать, является ли незаконной публикация найденных уязвимостей без уведомления владельца сайта:
a) на открытых сайтах, доступных любому пользователю сети
б) на закрытых сайтах, доступных только определенному кругу лиц
M_script вне форума   Ответить с цитированием
Старый 25.12.2011, 17:53   #15
Qwazar
 
Регистрация: 09.07.2010
Сообщений: 376
Репутация: 154
По умолчанию

Цитата:
Сообщение от M_script Посмотреть сообщение
exploit3602, я поэтому и спросил. То, что атака на веб-приложение является преступлением, никаких сомнений не вызывает. Но судя по ответам в теме, поиск уязвимостей так же нарушает закон, непонятно только какой.
Придёт эксперт типа Касперского, и скажет "это был взлом" и что бы ты не говорил про "клиентское"/"не клиентское", "с умыслом"/"без умысла" - суд примет его экспертную оценку. Другой вопрос - какова вообще вероятность попасться
__________________
Мой блог: http://qwazar.ru/.
Qwazar вне форума   Ответить с цитированием
Старый 25.12.2011, 17:57   #16
lefty
 
Аватар для lefty
 
Регистрация: 01.09.2011
Сообщений: 50
Репутация: 13
По умолчанию

J.Simmons, товарищь Пашкела хорошо подметил - "если есть хоть 1%". Ты даже не представляешь за какие казалось бы совершенно невинные шалости люди попадали под раздачу и получали УС, это дело случая. Оно тебе надо ? А если что-то уж делаешь - делай с умом и просчитывай наперед. Следи за собой, будь осторожен.
lefty вне форума   Ответить с цитированием
Старый 25.12.2011, 18:02   #17
M_script
 
Регистрация: 06.07.2010
Сообщений: 113
Репутация: 33
По умолчанию

Qwazar, понятно, что в России могут посадить за что угодно. Но все же, есть или нет нарушение закона при поиске серверных и тестировании (на своем компе) клиентских уязвимостей на сайте без ведома его владельца?
И что думаешь насчет вопроса о публикации багов?
M_script вне форума   Ответить с цитированием
Старый 25.12.2011, 18:11   #18
destiny
 
Аватар для destiny
 
Регистрация: 12.08.2010
Сообщений: 243
Репутация: 80
По умолчанию

Цитата:
Сообщение от M_script Посмотреть сообщение
насчет вопроса о публикации багов?
всегда можно ведь написать disclaimer: "все совпадения с реальностью случайны"?
__________________
тьеу-тьеу-тьеу-ти-ть-ть-тьеу
destiny вне форума   Ответить с цитированием
Старый 25.12.2011, 18:17   #19
M_script
 
Регистрация: 06.07.2010
Сообщений: 113
Репутация: 33
По умолчанию

Цитата:
Нашел уязвимость на сайте google.com в скрипте example.php. Уязвимы параметры qwe и asd GET-запроса.
PoC: http://google.com/example.php?asd='union+select+password+from+users+ where+login='admin
Все совпадения с реальностью случайны.
destiny, так?
M_script вне форума   Ответить с цитированием
Старый 25.12.2011, 19:00   #20
destiny
 
Аватар для destiny
 
Регистрация: 12.08.2010
Сообщений: 243
Репутация: 80
По умолчанию

Цитата:
Сообщение от M_script Посмотреть сообщение
destiny, так?
формально, имхо, да.

Когда кто-нибудь вроде Конана Дойля писал что-нибудь вроде: "на такой-то улице я увидел его, достал пистолет и выстрелил в него", а на этой улице кто-то кого-то действительно убивал, его же не сажали.


Цитата:
В любой непонятной ситуации ложитесь спать. Не воспринимайте все близко к сердцу.
===========================
Пример использования:
- Итак, у вас в кармане найдены марихуана и гашиш.
- Извините, я спать.
__________________
тьеу-тьеу-тьеу-ти-ть-ть-тьеу
destiny вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot