¿Dónde está la línea? [cerrado]

Navega tus respuestas
2

Un comentario publicado en una de mis preguntas el otro día planteó una pregunta en mi cabeza. Sé que muchos administradores de sitios aprecian a los usuarios que informan sobre errores y agujeros de seguridad, y como usuario aprecio a las personas que hacen esto. A menudo trato de encontrarlos y reportarlos en sitios y aplicaciones en los que uso con frecuencia o entrego datos confidenciales. Estoy razonablemente seguro de que estos sitios estarían bien si probara cosas realmente inofensivas como XSS reflejado y similares, pero ¿dónde está la línea? ¿Cuánto es ético probar sin permiso? ¿Es ético probar el sitio en busca de vulnerabilidades de inyección de SQL si no extraigo datos? ¿Hay alguna diferencia entre lo que permite la ley y qué administradores del sitio se lo agradecerán? ¿Cuál es la mejor manera de preguntarle a un administrador del sitio cuál es su opinión al respecto sin asustarlos?

    
pregunta 735Tesla 16.02.2014 - 15:14
fuente

2 respuestas

3

En un curso pentesting de aplicación web que tomé recientemente, el instructor opinó que cualquier cosa que pueda hacer pasivamente , es decir, la fuente en bruto que el servidor y el cliente están intercambiando, sin cambiar nada, es ético. lado de la linea. Tan pronto como inserta cadenas 'maliciosas' (como las pruebas de inyección de SQL, incluso aquellas que no extraen ningún dato) o altera las cosas (omitiendo la validación del lado del cliente, por Ejemplo) estás al otro lado de la línea y deberías tener permiso antes de hacerlo.

(Y si eres inteligente o profesional, el permiso debe estar documentado )

(Hay un mapeo de 13 a 47 entre lo que permite la ley y lo que aprueban los administradores del sistema, y el mapeo cambia regularmente)

    
respondido por el gowenfawr 16.02.2014 - 15:50
fuente
2

Estoy de acuerdo con gowenfawr. La desafortunada verdad es que las pruebas de penetración y las pruebas de errores hacen más daño que bien en muchos casos, incluso cuando los haces accidentalmente. Las leyes aún no se han puesto al día, así que podrías ir a la cárcel solo por intentar ayudar. Tal vez en un par de décadas, cuando hay más legisladores y ejecutivos de Fortune 500 que han aprendido cómo encender una computadora que aquellos que no lo han hecho, no tendrá que hacer esta pregunta (incluso si todavía está vivo en ese momento). :)).

    
respondido por el trysis 16.02.2014 - 17:17
fuente

Lea otras preguntas en las etiquetas

Uso de OAuth como seguridad para sitios de comercio electrónico Ejecutando un servidor abierto (el contenido está visible)