web-dev-qa-db-ja.com

サイトディレクトリのスキャンは違法侵入テストと見なされますか?

Dirbuster [[link] を使用して非公開ディレクトリをスキャンし、その内容が(おそらく)米国で合法であるかどうかを誰かが知っていますか?

1
Happy

ターゲットに対してセキュリティテストを実行する権限がない場合は、実行しないでください。

米国では、あなたは間違いなく The Computer Fraud and Abuse Act 1986、1994、1996およびおそらく他の行為のファウルに陥るリスクがあります。自分のテストターゲットを設定する、友達にサイトのテスト許可を求める、またはWebgoatやGruyereなどのサービスを使用するのは簡単です。

基本的に、あなたが自分のしていることを知っている人物であると思われる場合、Webフォームに単一引用符を入力するだけでも、過去に逮捕され起訴されるのに十分です。

許可なし、ペンのテストなし。それは簡単です。なぜそれを危険にさらすのか。

8
Cheekysoft

所有しているソフトウェアまたはテストすることに同意した書面でのみテストする必要があります。 「プレイ」してテストしたくない場合は、多くのオプションがあります。そのような良いものの1つは [〜#〜] dvwa [〜#〜] です。 ここ は、数回のクリックですべてを起動して実行するスクリプトです。

1
KDEx

私は@Cheekysoftを利用しています。ターゲット/クライアントシステムの法的所有者から書面でそれを入手していない限り、基本的にポイントアンドクリック以上の知識を使用しています。テクノロジーは法律よりも無限に速く進むため、あいまいになることを意図しています。

1
Alex