損傷のないWebAppでのパッシブスキャンまたはアクティブスキャンの罰則は何ですか?
いくつかの侵入テストで自分でテストしたWebアプリケーションのみを信頼するとします。 パッシブスキャン(たとえば、Webサイトのマップの構築)またはアクティブスキャンを実行することで、確認なしで脆弱性(SQLMapまたはZAProxyなど)を実行すると、どのようなペナルティの結果が生じますか?その所有者と何も損傷しませんか?ウェブサイトの所有者は私が脆弱性を見つけたかったという証拠以外何も請求しないのですか?損害を受けていない場合、罰金を科せますか?私がオンラインで見つけたものはそれぞれのケースに非常に特有であり、いつものように「テストの前にWebサイトの所有者に常に承認を求めてください」にもかかわらず、私は見つかりませんでしたアプリケーションのスキャンに対して課金された人々のケース。
具体的には、フランスについて言及した後:アクセス許可、権限のないシステムで情報へのアクセス、変更、プレゼンスの維持、または情報の削除を行うことは違法です。
さらに、そのような行為を行おうとする試みは、あなたがそれをしたかのように罰せられます(たとえそれがどれほど成功したかに関係なく)。
あなたは次のようなものを期待できます:15万ユーロ、5年の刑務所で( legifrance で述べたように)
一般に、ルールは攻撃する国と攻撃する国によって適用が異なり、複数の法域または自分とは異なる法域で責任を問われる場合があります。専門家にお尋ねください。
投稿の最後の部分については、誰かに有罪判決が出されなくても、それが合法であったり、誰も有罪判決を受けたりすることはありません。この場合、コストがかかりすぎるか、起訴するのが難しいかもしれませんが、変更される可能性があります。
理想的な世界では、すべてのWebサイト/ Webアプリには、ペンテスター/セキュリティ研究者、情報公開の条件、およびその対処方法を扱うポリシーがあります。
しかし、私たちは理想的ではない世界にいます。そのようなポリシーを実施している組織はほとんどないため、実際には灰色の考えです。皮肉なことに、研究者は尋ねたときに弁護士を装った妄想的な会社から警告の手紙を受け取るかもしれません。損害を与えるPRを行っている一部の企業が実施している「無料作品」に感謝します。
ペンテストの「研究」に関する経験則:
まれですが、常に「セキュリティ分析テストに関する利用規約を見つけてください。たとえば、 AWSには侵入テストリクエストがあります 。
礼儀正しく、サイトをDoSしないでください。ペンテストは、DoS容量テストではありません。
続行する前に 適切なペンテスト方法のガイドを学習してください 。
同意なしにウェブサイトの脆弱性を公開しないでください。 Blackhatハッカーはすでにそれらのウェブサイトに手を置いているかもしれませんが。それが醜くなった場合に備えて、あなたの地面を保護するために丁寧なメールとあなたのすべての研究活動を送ってください。
オープンソースのWebアプリケーションの脆弱性をテストするには、独自の(VM、コンテナーなどを使用する)テスト環境をセットアップします。プロプライエタリアプリの場合、エクスプロイトを監視する公式組織にレポートを送信できます。あなたは、いくつかの会社のバグ狩猟プログラムからいくらかの収入を得るかもしれません。
法律問題に関しては、国によって異なります。ほとんどの国には、ハッキング(同意なしのペンテストを含む)に対する罰則があります。研究を妨げる可能性があるため、国によっては研究を実施することを許可する対応法を定めています。ペンテストが「犯罪者の境界線」を超えない限り、一部の人はそれを「片目接近」として扱っただけです(たとえば、DoSが目立つサイト)
パッシブスキャンの場合、何も起こらないはずです。それともGoogleは逮捕されたのですか? :Pサービスの脆弱性を調査する(または、何らかの種類のエクスプロイトを積極的にテストしようとする)アクティブスキャンの場合、世界中のどこでも問題になります。そのような行為については、誰かがあなたがそれを持っていると主張するだけであなたを非難する場合に備えて、常にサービスプロバイダーからの書面による合意がある方が良いです。