Como pasatiempo, encuentro agujeros de seguridad que van desde XSS a SQLi a LFI, etc. en sitios web aleatorios que encuentro. (No los exploto). He decidido hacer un poco más; Quiero crear un grupo de voluntarios compuesto por piratas informáticos que encontrarán agujeros y los reportarán al sitio web.
Estoy encontrando dos "problemas":
- Aunque no exploto los agujeros, ¿puedo meterme en problemas legales por informar del agujero al sitio web?
- ¿Dónde podría encontrar otros piratas informáticos no malintencionados?
El grupo sería completamente voluntario y no sería malicioso. No aceptaríamos clientes ni haríamos pruebas a pedido. Los sitios serían completamente aleatorios; no se dirigirán sitios específicos y la prueba se realizará sin el consentimiento o conocimiento del sitio. Si se encuentra un agujero, el sitio es notificado. Si no, seguiríamos adelante.
¿Debería preocuparme por algo más?
Pido disculpas si este es el sitio incorrecto para preguntar, pero no tengo idea de a dónde ir ...