Estoy haciendo pruebas en algunos sitios web y he encontrado algunos errores graves en esos sitios.
No estoy seguro de si esto es legal o no.
La legalidad depende del país ... pero, en general, realizar pruebas en sitios web que son propiedad de otras personas sin su consentimiento está mal visto y puede causarle muchos problemas legales.
Algunos propietarios de sitios estarían encantados de conocer sus fallas de seguridad y agradecerles calurosamente. Muchos otros lo verán como un intento de chantaje disimulado, y luego llamarán a la policía y lo pondrán vivo.
No soy un abogado de ninguna manera, usted es responsable de sus propias acciones.
La respuesta es, depende. Primero, depende del país en el que viva, junto con las leyes locales. Además, si está enviando datos al servidor, es mucho más probable que sea ilegal (Probar la inyección de SQL, almacenado / reflejado xss, etc.) que si solo está haciendo un análisis estático en javascript, notando que no tienen un token CSRF en una transacción confidencial, notando que tienen un conjunto de cifrado débil en su SSL o cualquier tipo de pruebas del lado del cliente. Por ejemplo, la ingeniería inversa es legal según las leyes de EE. UU. (Existen excepciones, sin embargo, en casos de DMCA o acceso no autorizado), pero en el momento en que envía un paquete con formato incorrecto al servidor para ver la respuesta, violó el CFAA.
Lea otras preguntas en las etiquetas web-application penetration-test legal