¿Cuáles son las consecuencias penales para un escaneo pasivo o activo en una aplicación web sin daños? [cerrado]

4

Digamos que solo confío en las aplicaciones web que me probé con algunas pruebas de penetración. ¿Qué consecuencias penales existen por realizar una exploración pasiva (por ejemplo, crear un mapa de un sitio web) o una exploración activa para detectar vulnerabilidades (con SQLMap o ZAProxy, por ejemplo) sin preguntar? ¿Su dueño y nada dañando? ¿Podría el propietario del sitio web cobrarme nada más que evidencias de que quería encontrar vulnerabilidades? ¿Puedo ser multado cuando no se ha hecho ningún daño? Lo que encontré en línea es muy específico para cada caso y, a pesar del habitual " Siempre pregunte al propietario del sitio web para su aprobación antes de la prueba ", no encontré ningún caso de personas acusadas de escanear una aplicación.

    
pregunta Shashimee 29.05.2017 - 11:45
fuente

3 respuestas

5

Debido a que mencionó Francia: es ilegal acceder, modificar, mantener su presencia o eliminar información en sistemas en los que no tiene autorización para hacerlo.

Además, el intento de hacer tal acto es punible como si lo hicieras (sin importar el éxito que haya tenido).

Puede esperar algo como: 150.000 euros, 5 años de prisión (como se menciona en Legifrance )

En general, la regla se aplica de manera diferente según el país desde el que esté atacando y el país en el que está atacando, podría ser considerado responsable en múltiples jurisdicciones o jurisdicciones diferentes a las suyas. Pregúntele a un experto.

En cuanto a la última parte de tu publicación, no haber condenado a alguien por algo no significa que sea legal o que nadie sea condenado. En este caso, podría ser demasiado costoso o difícil de procesar, pero podría cambiar.

    
respondido por el M'vy 29.05.2017 - 12:04
fuente
3

En el mundo ideal, todas las aplicaciones de sitios web / web tienen una política que trata con el investigador de pentester / seguridad, los términos de divulgación de información y cómo lidiar con ella.

Sin embargo, estamos en un mundo no ideal. Pocas organizaciones cuentan con tales políticas, por lo que es una idea gris. Irónicamente, el investigador puede recibir una carta de advertencia de un abogado cargado y una compañía paranoica cuando pregunta; mientras que algunas empresas con relaciones públicas dañinas, apreciarán los "trabajos gratuitos" realizados.

Algunas reglas de oro para la "investigación" de prueba de la pluma:

  1. Aunque es raro, siempre intente ubicar el "Término de los servicios relacionados con la prueba analítica de seguridad. Por ejemplo, AWS tiene una solicitud de prueba de penetración .

  2. Sea cortés, no haga el sitio. Una prueba de lápiz no es una prueba de capacidad DoS.

  3. Estudie la guía de metodología de prueba de lápiz adecuada antes de continuar .

  4. NO publique la vulnerabilidad del sitio web públicamente sin su consentimiento. A pesar de que el hacker Blackhat ya puede poner su mano en esos sitios web. Intenta enviar un correo electrónico cortés y todo tu trabajo de investigación para proteger tu terreno, en caso de que se vuelva feo.

  5. Para probar las vulnerabilidades de open source webapps, configure su propio entorno de prueba (ya sea utilizando VM, contenedor, etc.). Para las aplicaciones propietarias, puede enviar el informe a la organización oficial que supervisa la explotación. Incluso puede ganar algo de dinero con el programa de caza de errores de la compañía.

Respecto a la ley de interés, depende del país. La mayoría de los países tienen una ley de sanciones contra la piratería (que incluye pruebas de la pluma sin consentimiento) Dado que puede obstaculizar la investigación, algunos países tienen leyes de contrapartida que permiten realizar la investigación. Mientras que algunos simplemente lo trataron como "un ojo cerca", siempre y cuando su prueba de la pluma no supere la "línea criminal" (por ejemplo, DoS es un sitio prominente)     

respondido por el mootmoot 29.05.2017 - 12:04
fuente
0

Yo diría que para el escaneo pasivo, nada debería pasarte. ¿O se toma a Google bajo arresto? : P Para la exploración activa en la que se sondearían los servicios en busca de vulnerabilidades (o intentará probar algún tipo de explotación) sería un problema en cualquier parte del mundo. Para tales acciones, siempre es mejor contar con un acuerdo por escrito del proveedor del servicio, ya que en caso de que alguien te culpe, simplemente dices que lo tienes.

    
respondido por el Fis 29.05.2017 - 12:54
fuente

Lea otras preguntas en las etiquetas