あなたとあなたの友人がハッキングするためにプライベートウェブサイトを始めることは合法ですか?
私の友人はハッキングに興味を示しましたが、私たちは違法なことをしたくありませんし、CTF365を考慮しましたが、それは高額でした。私たちの1人がハッキングするためのプライベートWebサイトを作成したり、私たち自身の2つのWebサイトで攻撃/防御したりすることは可能/合法ですか?
私の知る限り、はい、それは合法です。私が知っているすべてのハッキング防止法はnauthorizedアクセスを参照しており、あなたがそれをハッキングする許可を得ているなら、それは無許可ではありませんよね?
注意すべき点がいくつかあることに注意してください。一部の法域では、「ハッキングツール」の所有を禁止しています(ロックピッキングの所有を禁止するのと似ていますが、あまり明確ではありません)。また、パケットのなりすましや(D)DoSなどの一部の手法では、法に違反する付随的な損害が発生する可能性があります。
また、あなたが何をしているかについてのあなたのウェブホストの意見をチェックしたいと思うでしょう。他の顧客への影響の可能性があるため、これを許可しない場合があります。ホーム接続でWebサイトをホストしている場合は、ISPの利用規約に違反している可能性があります。
完全に安全にしたい場合は、インターネットから完全に分離された専用ネットワークでこれを行ってください。安価なイーサネットスイッチとRaspberry Piか1つまたは2つで、100ドル未満でプレイできるセットアップを実現できます。
マークが述べているように、これは多かれ少なかれこれを行うことが合法であるので、これは事実上許可されたアクセス、おそらく型破りなルートによるものです。
賞品がハッキングされたマシン(または何でも)である多くのハッキングコンテストも検討してください。これらのコンテストの一部(多くない場合)は、プライベートネットワーク上ではされませんが、パブリックインターネット上で行われます。そのフレーズの「pwn to own」と同様の「leetspellings」を検索してください。そうしたイベントのサイトが見つかるはずです。その利用規約はあなたにとって興味があるはずです。
ここデンマークでは、HenrikKramshøjはIT(特にネットワーク)セキュリティに関連するすべての事柄に関して非常に権威があり、事前に通知されている限り、ウェブサイトをハッキングする可能性がある(しようとする!)と頻繁に述べています。そして、それは公共のインターネットを介して行われますが、この場合、彼は実際にインターネットプロバイダーを所有しているので、それはリスク要因ではありません。
ハッカー歓迎サイトのリストへのリンクを含む 同様の質問に対するロリーの回答 を見てください。
まず第一に、あなたが話している国がわからないため、誰もこの質問に答えることはできません。私たちが弁護士ではないと知っていても、これに答えることはできません。ほとんどの国では、これに関する法的状況はいずれにせよ明確ではないと思います。それはおそらく灰色の領域になります。
実際には、サーバーがハッキングされ、ホスティング業者/ ISPがとにかくオフラインにするため、合法かどうかは問題ではありません。
システムを非公開(VPNなど)にすると、問題は発生しません。
一言で言えば、あなたがどの国にいるかに関係なく、「ハッキング」はシステムへの不正アクセスと定義されています。あなたは必ずしも「システムの脆弱性をテストする」ほど「ハッキング」しているわけではありません
あなたの考えでは、もう少し横向きである必要があります。 Webサイトでハッキングを練習するために、公開Webサイトは必要ありません。公開されたWebサイトは、誰がハッキングしようとするかを制御できなくなるため、実際には必要ありません。また、あなたの質問に基づいて、あなたやあなたの友人がハッキングを許可するような方法で公開Webサイトをセットアップするのに必要なスキルを持っている可能性は低いが、ハッキングできる人を制御/管理することをお勧めします。
ハッキングのための公開Webサイトの大きな問題は、多くのホスティング組織がこれを行う意思がないことです。彼らにとっては、サイトをハッキングすることができれば誰でも十分にアクセスできるようになり、ホストしている他の顧客/サイトへの脅威となる可能性があるため、リスクが高すぎます。ほとんどのホスティング会社は、ホストするサイトを自社のインフラストラクチャの上に構築します。これは、ホスティングの作業をできるだけ簡単にするように設計されており、ハッキングがインフラストラクチャのレベルで成功しないという保証はありません。あなたのサイトだけでなく、それらをハッキングにさらすことになります。これは、これを許可することをいとわないホスティング会社を見つけられないという意味ではありません。それは、彼らのためのペンテストの一種と見なされる可能性があるためです。
最善の解決策は、VMを使用してサイトをセットアップすることです。すべてが同じローカルネットワーク上にない場合でも、各ユーザーに独自のVMを実行させることができます。この種のもののために特別に設計された多くの「ハッキング」VMの1つを使用するか、独自のVMを作成してスナップショットを作成し、実行する各ユーザーにスナップショットを与えることができます。これにより、誰もが互いに干渉することなく、自分のサイトをハッキングできるようになります。
多くの場合、ハッキングしようとすると、サイトやホストを不安定にしたり、実行できなくなったりすることがあります。ハッキングの方法を学ぶときは、定期的にすべてを既知の状態に復元する必要があります。これにより、ハッキングが成功したことを確認でき、ハッキングの仕組みを完全に理解できます。うまくいく「レシピ」を見つけたら、VMを既知の状態に復元し、プロセスを繰り返すことを試みることができます。成功した場合、正確に知っている自信が高まります。一方、失敗した場合は、レシピに何か欠けていることがわかります-おそらく以前の試行によって引き起こされた副作用です。
VMアプローチを使用することのもう1つの利点は、法的問題の可能性を回避できることです。すべてをプライベートホスト上および管理している環境で実行できます。実行するのも比較的安価です。すべて必要なのは、1つ以上の仮想ボックスまたはvmwareイメージを実行するのに十分なメモリを備えたPCです。16GbのRAMを備えたvirtuaboxを実行するLinuxボックスを使用します。複数のVMを同時に実行できます-ネットワークのシミュレーションなど。
これを行う方法のアイデアについては、 単一システムを使用してペンテスト/ハッキングラボネットワークをセットアップする を参照してください。
ほとんどのウェブサイトホスティングでは、「あなたのウェブサイト」である部分は非常に薄く、php/asp入力のサニタイズを除いて、ハッキングすることはほとんどありません。より大きなハッキング可能な部分は実際にはあなたのものではありません-それはあなたのウェブサイトと他の多くの間で共有されるプロバイダーのインフラストラクチャです。
あなたはこれを考慮する必要があります:あなたがあなた自身のコンピュータでウェブサイトを走らせない限り、あなたの友人はハッキングしていませんあなたのウェブサイト。彼らはハッキングしていますホスティングプロバイダーのコンピューター。
これが、CTFが高価になる理由の1つです。実際の商業環境を損なうことなく、商業環境を正確に表す遊び場を作成するには、最新の商業インフラストラクチャセットを専用にする必要があります。
おそらくローカルネットワークにあり、インターネットからアクセスできないこのタスク専用のコンピューターをセットアップする必要があります。それには利点があります。あなたとあなたの友達を除いて、誰もがハッキングされたことを知ることはありません。
それは合法ですか?ほとんどの管轄区域では、そうですが、現地の法律を最初に読んでください。上記のいくつかの回答は、許可されていてもハッキングが違法である管轄区域を強調していますが、ほとんどの場合、あなたが話している種類の演習は許可されています。セキュリティテストの。
それは良いアイデアですか?非常に注意深い場合のみ。あなたがそれをハッキングできるなら、他の誰かもそうできることを覚えておいてください。脆弱なマシンをオープンインターネットから十分に離してください。これは、LANまたはVPNを介してマシンにアクセスする必要があることを意味しますが、これは、予期しない人や何かによってハイジャックされるよりも優れています。