即使您没有利用它们,是否有可能在识别Web应用程序中的漏洞时遇到法律问题?
我曾经考虑过使用像NetSparker这样的工具来查看网站是否有任何漏洞,我想联系该网站的所有者,看看他们是否有兴趣修复它。我怀疑其中一些人可能会生气或误解我的意图,我很好奇我是否可以因为发现这些安全问题而遇到麻烦。
答案 0 :(得分:8)
如果您正在寻找开源软件或商业分发软件中的漏洞,并且您是美国公民,则受第一修正案的保护。编写漏洞利用代码并做任何你想做的事情是合法的(只要它不卖给恐怖分子/暴徒)。如果您发现了report it到BugTraq的缺陷,请将其放在简历上。多年来我积累了很多CVE数字,我积极地write exploit code。
在Germany和法国,法律有点不同,拥有“黑客工具”(如利用代码甚至NMAP)可能会让你入狱。您可能也对the laws of full disclosure感兴趣。
另一方面,如果您到处扫描人们的网站寻找漏洞,那么违法,FBI会调查您。 未经所有者许可,不要在随机网站中查找漏洞。
答案 1 :(得分:1)
你不应该遇到麻烦,但取决于刺痛有多大,谁变得尴尬以及谁感到受到威胁你很容易变成下一个Adrian Lamo。
答案 2 :(得分:0)
经常遇到麻烦的事情可归结为“他们”可以说服法官。公司当然可以将这样的行为看作是真正的攻击(公司中的错误人员得到错误的想法并对此大声喊叫)并向您寻求某种损害赔偿。请记住,“正确”或“合理”或“有意义”在美国法律体系中并没有多大意义(假设美国在这里)。
也就是说,作为开发人员,我绝对鼓励漏洞测试并向开发人员报告正在测试的产品。但是,不幸的是,你应该谨慎行事。