Notificación del sitio web con agujero de seguridad

Navega tus respuestas
5

Como pasatiempo, encuentro agujeros de seguridad que van desde XSS a SQLi a LFI, etc. en sitios web aleatorios que encuentro. (No los exploto). He decidido hacer un poco más; Quiero crear un grupo de voluntarios compuesto por piratas informáticos que encontrarán agujeros y los reportarán al sitio web.

Estoy encontrando dos "problemas":

  • Aunque no exploto los agujeros, ¿puedo meterme en problemas legales por informar del agujero al sitio web?
  • ¿Dónde podría encontrar otros piratas informáticos no malintencionados?

El grupo sería completamente voluntario y no sería malicioso. No aceptaríamos clientes ni haríamos pruebas a pedido. Los sitios serían completamente aleatorios; no se dirigirán sitios específicos y la prueba se realizará sin el consentimiento o conocimiento del sitio. Si se encuentra un agujero, el sitio es notificado. Si no, seguiríamos adelante.

¿Debería preocuparme por algo más?

Pido disculpas si este es el sitio incorrecto para preguntar, pero no tengo idea de a dónde ir ...

    
pregunta citruspi 07.04.2012 - 03:43
fuente

1 respuesta

3

Puede leer última publicación del blog de Seguridad de TI que trata sobre un tema similar. Es una lectura interesante y puede encontrar algunas respuestas, incluso si su escenario y el que están analizando son un poco diferentes.

El punto es que hay muchas consecuencias posibles a tener en cuenta al piratear un sitio web que solicita ser pirateado, si desea piratear un sitio web que no solicita ser pirateado y luego notificarlo, probablemente debería hacerlo. aún más cuidadoso.

Por supuesto, no soy abogado, por lo que para preguntas más específicas le sugiero que hable con uno.

    
respondido por el user1301428 07.04.2012 - 10:42
fuente

Lea otras preguntas en las etiquetas

puede auditar eventos de seguimiento que ocurrieron en NFS ¿La información deliberadamente errónea de un servidor DNS viola las normas generalmente aceptadas como buenas prácticas?