但這裡注意是合理範圍內的測試哦，你找到個支付漏洞結果自己先拿去用套現不少錢然後再提交，這肯定不是合理範圍，你找個注入直接把人家資料庫給搞掛了，肯定也不是合理範圍。關於什麼是合理行為可以先看一看提交漏洞須知。

關於漏洞平台接滲透項目，看描述這個「漏洞平台」應該是指眾測平台吧。正規的眾測平台的項目都是由眾測平台運營方取得項目發起方的授權後才會發布到平台上的，眾測運營方在發布項目的時候也會對項目信息進行描述，包括講清楚測試的範圍和程度等內容，按照項目信息的規定去進行測試是不會出現問題的。並且眾測運營方在整個項目過程中也會跟進指導和溝通，確保接項目的人是按照項目需求方的要求在進行測試。

所以，只要按照平台的要求來進行測試，並且不要進行危險的操作，在src或者正規的眾測平台上接項目滲透測試不犯法

本科在讀，在補天交過一些漏洞，多大的國企、GOV、高校等等都有，就補天來說說這個問題。

以補天為例，應該各個SRC都給白帽子提供了這個問題的答案。補天在官網首頁--&>白帽服務--&>法律援助。貼個補天的鏈接：https://butian.360.cn/Help/law

其中列出了15個問題：

1、 在挖洞測試站點過程中，怎樣才不會犯法？

2、 如果我對某網站進行滲透測試時,若不小心刪除了資料庫,導致網站癱瘓,我該怎麼辦？

3、 給菠菜或者色情網站做維護犯法么？

4、 就我所知，其它平台上面就有不少白帽子因為提交漏洞，被查了水表，那麼我該如何相信補天能在我提交漏洞的時候，確定我不會被查水表？

5、 構成犯罪年齡

6、 白帽子上傳文件或者webshell是否會引起廠商誤會？該如何避免誤會？

7、 友情測試和犯罪的區別在哪？

8、 白帽子所做的是否違法刑法第二百八十五條第二百八十六條第二百八十七條這三條法律？

9、 用戶的個人數據是不是一種財產？如果是，那麼所有權人應該是誰？

10、 讀取少量數據測試後，廠商卻拿出日誌說拖庫，應該怎麼辦？

11、 拿到授權進行測試的，如果在授權範圍內造成了致命性危害，會算違法嗎？

12、 用戶信息泄露，廠商是否需要為用戶負責，承擔法律責任呢？

13、 未經授權對某廠商進行了滲透測試，然後通知他們管理網站存在漏洞，在我未動數據的情況下他們報警了，然後我被抓了，還被拿走了筆記本，這種情況該怎麼維權？電腦還能要回嗎?廠商有沒有責任？

14、 發現嚴重漏洞後有沒有必要提醒用戶更改密碼，如果因沒有提醒造成用戶損失，廠商要不要擔責？如果用戶向廠商追責的話，白帽子要不要擔責任？

15、 在某平台提交了一個危害較大的漏洞。雖然得到廠商確認，但卻在索要我地址向我郵寄禮物時突然反口，說讓我寫保證書，保證以後不再入侵此公司網站，不寫就報警，我該怎麼辦？

上述15個問題估計可以解決題主的絕大部分疑問了，不論是測試，授權，還是造成了一定的影響，補天的法務部門對此都有詳細的解答。題主要問的估計就是第一個問題了，我們把第一個問題直接給題主粘過來；

------------------------------------------------------------------------------------------------------------------------

按照《刑法》第二百八十五條的規定，侵入計算機信息系統或者採用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制，情節嚴重的，構成非法侵入計算機信息系統罪或者非法獲取計算機信息系統數據罪。

所以，構成這種類型的犯罪要同時具備三個條件：1、侵入計算機系統；2、獲取計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制；3、情節嚴重的。

只有這三個條件同時具備才構成犯罪，要受到刑罰。也就是說，僅僅是侵入計算機系統，但沒有獲取數據，或者侵入了，也獲取了數據，但情節不嚴重的，也不構成犯罪，不受刑法處罰。

情節是否嚴重，《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》中有明確的規定，可予以參考。

PS：真不是我要複製啊，補天法律援助的解答很專業很詳細，我真沒必要造輪子在自己瞎解釋一通。。。

」不要深入」，點到為止就行了

務必認真研讀平台的白帽子手冊（守則）以及當前項目要求

比如注入一般來講就只能跑到表名證明。你要是不小心--dump。數據超過50條咋辦？

又比如很多時候不準內網漫遊，你又想測，建議提前問清楚 獲得授權。並保留已授權證據

否則出事了說不清啊！

目前來說只要測試漏洞方法得當，知道底線，就沒事，例如 SQL注入漏洞注入出庫名即可，任意文件上傳，證明能解析代碼即可。