Действия и последствия

[J.Simmons]

Pashkela, в список цитат:

Цитата:

Ведь речь идет о тебе. Самом важном человеке в твоей жизни.

[M_script]

Вопрос по первому пункту.
"1. Если проверяешь сайт на уязвимости это законно?"

Цитата:

Сообщение от oRb

Если есть договоренности с владельцем ресурса, то это законно.

То есть, если я без договоренности с владельцем подставил на его сайте кавычку в запрос и таким способом обнаружил SQL-инъекцию, это уже незаконно?
А если я этой кавычкой не обнаружил никакой уязвимости, закон тоже нарушен? Я ведь проверил сайт на уязвимость.

Каким законом запрещено отправлять на сайт непредусмотренные разработчиком http-запросы?
И что, если уязвимость клиентская? Например, пассивная XSS. Она выполняется на моем компьютере, следовательно могу тестировать ее сколько угодно, это никому не навредит. Если не использовать против других людей, закон нарушается?

[exploit3602]

M_script не знаю как обстоят дела с кавычками . но опираюсь на ук рф можно сказать следующее.
1) ты нашел уязвимость , формально это еще законно , но если ты ее эксплуатируешь и твое деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, то закон ты нарушил и тебя можно привлечь .
2) клиентскую xss ты можешь тестить сколько угодно . но если все это несет какое либо деструктивное последствие то ты нарушаешь закон

[M_script]

exploit3602, я поэтому и спросил. То, что атака на веб-приложение является преступлением, никаких сомнений не вызывает. Но судя по ответам в теме, поиск уязвимостей так же нарушает закон, непонятно только какой.


upd:
Еще хотелось бы узнать, является ли незаконной публикация найденных уязвимостей без уведомления владельца сайта:
a) на открытых сайтах, доступных любому пользователю сети
б) на закрытых сайтах, доступных только определенному кругу лиц

[Qwazar]

Цитата:

Сообщение от M_script

exploit3602, я поэтому и спросил. То, что атака на веб-приложение является преступлением, никаких сомнений не вызывает. Но судя по ответам в теме, поиск уязвимостей так же нарушает закон, непонятно только какой.

Придёт эксперт типа Касперского, и скажет "это был взлом" и что бы ты не говорил про "клиентское"/"не клиентское", "с умыслом"/"без умысла" - суд примет его экспертную оценку. Другой вопрос - какова вообще вероятность попасться

[lefty]

J.Simmons, товарищь Пашкела хорошо подметил - "если есть хоть 1%". Ты даже не представляешь за какие казалось бы совершенно невинные шалости люди попадали под раздачу и получали УС, это дело случая. Оно тебе надо ? А если что-то уж делаешь - делай с умом и просчитывай наперед. Следи за собой, будь осторожен.

[M_script]

Qwazar, понятно, что в России могут посадить за что угодно. Но все же, есть или нет нарушение закона при поиске серверных и тестировании (на своем компе) клиентских уязвимостей на сайте без ведома его владельца?
И что думаешь насчет вопроса о публикации багов?

[destiny]

Цитата:

Сообщение от M_script

насчет вопроса о публикации багов?

всегда можно ведь написать disclaimer: "все совпадения с реальностью случайны"?

[M_script]

Цитата:

Нашел уязвимость на сайте google.com в скрипте example.php. Уязвимы параметры qwe и asd GET-запроса.
PoC: http://google.com/example.php?asd='union+select+password+from+users+ where+login='admin
Все совпадения с реальностью случайны.

destiny, так?

[destiny]

Цитата:

Сообщение от M_script

destiny, так?

формально, имхо, да.

Когда кто-нибудь вроде Конана Дойля писал что-нибудь вроде: "на такой-то улице я увидел его, достал пистолет и выстрелил в него", а на этой улице кто-то кого-то действительно убивал, его же не сажали.

Цитата:

В любой непонятной ситуации ложитесь спать. Не воспринимайте все близко к сердцу.
===========================
Пример использования:
- Итак, у вас в кармане найдены марихуана и гашиш.
- Извините, я спать.