Legalidad de las vulnerabilidades de escritura con fines educativos (EE. UU., Canadá) [cerrado]

No conozco específicamente el CFAA, pero las buenas pautas generales para las pruebas de penetración educativas o exploratorias son:

1. Solo los servidores de ataque que usted controla , o que tiene permiso expreso para atacar. Por ejemplo, algunas personas abandonan los sitios web con vulnerabilidades conocidas para que otros puedan "practicar la piratería" en ellos. Estos sitios suelen tener un descargo de responsabilidad expresamente que le da permiso para atacarlos. Sin ese descargo de responsabilidad, puede tener grandes problemas para lanzar un ataque a un dominio que no controla.
2. Solo publicar exploits para vulnerabilidades conocidas (y parcheadas) . Si está jugando con exploits que ya se han publicado en revistas / conferencias académicas, o son conocidos, entonces probablemente puede publicarlo en Internet, especialmente si hay un parche disponible. Sin embargo, si descubre un nuevo exploit o no está seguro de si es nuevo, entonces es mejor pasar por los canales oficiales y notificar a los proveedores antes de hacer algo público.

EDITAR:

El OWASP WebGoat Project existe específicamente para abordar el problema (1.) :

  

WebGoat es una aplicación web deliberadamente insegura mantenida por OWASP diseñada para enseñar lecciones de seguridad de aplicaciones web.

¡Puedes descargar e instalar los paquetes de WebGoat en tu propia máquina y luego ejecutar todos los ataques que quieras!

Si tiene una gran preocupación sobre el tema (2.) y la publicación, siempre puede ponerse en contacto con su Capítulo local de OWASP y preguntarles.