Verificación aleatoria de SQLi / XSS: ¿es legal? [cerrado]

Navega tus respuestas
1

Me gusta la idea de hackear el sombrero blanco. Por eso me gustaría convertirme en un pentester en el futuro. Pero ahora me gusta aprender un poco y me preguntaba si es legal buscar la inyección de SQL, XSS y algunas otras cosas básicas para aplicaciones web, con la intención de informarlas al webmaster .

Si esto es importante, yo soy de Alemania, tenemos el llamado "Hackerparagraph" (§202c StGB) que criminaliza el intento de intentar ingresar a un sistema o incluso desarrollar dichos códigos / herramientas. En teoría, una inyección exitosa sería un delito.

¿Pero qué es, si esto es por una buena causa? ¿Debo temer que el administrador reporte mi acción a la policía?

Por ejemplo, si escribo al administrador un correo electrónico como este:

  

Estimado administrador,

     

Encontré una vulnerabilidad para una inyección SQL en tu página XXX.   No tenía ninguna intención de compartir esta vulnerabilidad con alguien, excepto usted. 

http://domain.de/site.php?cat=1&s_id=4818&p_id=13807&r_id=4&nr_id=647568+%27and+%271%27=%272%27+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,version(),7,8,9,0,1,2,3,4,5,6,7,8,9--+
     

Le recomendaría que [explique varias cosas sobre seguridad]. espero   Esto le ayuda a usted y a su empresa a garantizar la seguridad de los suyos.   tus clientes.

    
pregunta pguetschow 24.10.2016 - 13:05
fuente

3 respuestas

3

Independientemente de sus intenciones, romper es romper, siempre que sea deliberado. En otras palabras, es probable que se considere ilegal en tu país.

Y nadie está obligado a ser auditado sin consentimiento, excepto en los casos y por los actores definidos por la ley, por lo que la intención no importa aquí.

¿Qué sucede si, por ejemplo, su inyección SQL tiene algunos efectos secundarios que no esperaba y daña el sistema auditado? O, ¿qué sucede si su inyección de SQL falla (lo que es bueno), pero desencadena una acción legal en su contra, ya que el administrador lo ha detectado en el archivo de registro del sitio web?

Por lo tanto, recomendaría encarecidamente no ir por ese camino. Sin embargo, ¿por qué no intenta preguntar a los administradores antes de actuar, explicando exactamente lo que explicó en esta publicación? La mayoría dirá que no, pero algunos podrían decir que sí.

Más sobre esto:

respondido por el Shlublu 24.10.2016 - 13:32
fuente
5

Como otras personas ya han mencionado las prácticas que mencionaste deben evitarse, permanecer en el lado seguro de las cosas.

Sin embargo, algunas empresas cuentan con programas de recompensas de errores que básicamente fomentan y recompensan el informe de vulnerabilidades descubiertas en su plataforma (por ejemplo, Google .) Además, existen plataformas como HackerOne que agregan recompensas de errores de diferentes compañías.

Por supuesto, las empresas que configuran estos programas de recompensas de errores suelen ser muy robustas, por lo que tendrá que esforzarse más para descubrir posibles vulnerabilidades.

    
respondido por el Kyriakos 24.10.2016 - 22:50
fuente
2

No creo que importe si es por una buena causa o no. Simplemente no lo hagas. Si reserva el curso Pruebas de penetración con Kali de Seguridad ofensiva, obtendrá un excelente laboratorio donde podrá hacer todo lo que quiera. En el mundo real, simplemente no lo hagas. Puede pedir permiso para hacerlo, pero no creo que nadie se arriesgue a permitir que una persona completamente desconocida ataque a su red.

También tenga en cuenta lo siguiente: cada vez que se detecta y procesa un intento ilegítimo de penetrar en una red extranjera, su reputación profesional se pierde para siempre. No solo en la seguridad de TI, la confianza en sus socios comerciales es el activo más importante.

    
respondido por el kaidentity 24.10.2016 - 13:34
fuente

Lea otras preguntas en las etiquetas

¿Proporciona seguridad el filtrado de direcciones MAC? [duplicar] ¿Es jQuery 2.1.1 vulnerable a la inyección de comandos del sistema operativo?