本人学生,有点担心
可以做到不违法。作为曾经提交过漏洞的白帽子,做过第三方漏洞平台的运营,也做过src的运营的我,非常肯定地告诉你,可以做到不违法,不用担心。
首先国内的src是鼓励白帽子在合理范围内测试漏洞并提交的,不然成立src干嘛?并且,src对白帽子也有正规授权,之前我在jsrc做过的一个项目就是联合公司法务和其他30多家src在2018.6.1网路安全法正式实施后对白帽子在src提交漏洞的合理行为进行授权,授权内容和合理行为的定义都写在提交漏洞须知中,每一个提交漏洞的白帽子需要阅读须后知才能提交漏洞。比如jsrc的授权内容在白帽子用户协议中http://security.jd.com/#/protocol
但这里注意是合理范围内的测试哦,你找到个支付漏洞结果自己先拿去用套现不少钱然后再提交,这肯定不是合理范围,你找个注入直接把人家资料库给搞挂了,肯定也不是合理范围。关于什么是合理行为可以先看一看提交漏洞须知。
关于漏洞平台接渗透项目,看描述这个「漏洞平台」应该是指众测平台吧。正规的众测平台的项目都是由众测平台运营方取得项目发起方的授权后才会发布到平台上的,众测运营方在发布项目的时候也会对项目信息进行描述,包括讲清楚测试的范围和程度等内容,按照项目信息的规定去进行测试是不会出现问题的。并且众测运营方在整个项目过程中也会跟进指导和沟通,确保接项目的人是按照项目需求方的要求在进行测试。
所以,只要按照平台的要求来进行测试,并且不要进行危险的操作,在src或者正规的众测平台上接项目渗透测试不犯法
本科在读,在补天交过一些漏洞,多大的国企、GOV、高校等等都有,就补天来说说这个问题。
以补天为例,应该各个SRC都给白帽子提供了这个问题的答案。补天在官网首页--&>白帽服务--&>法律援助。贴个补天的链接:https://butian.360.cn/Help/law
其中列出了15个问题:
1、 在挖洞测试站点过程中,怎样才不会犯法?
2、 如果我对某网站进行渗透测试时,若不小心删除了资料库,导致网站瘫痪,我该怎么办?
3、 给菠菜或者色情网站做维护犯法么?
4、 就我所知,其它平台上面就有不少白帽子因为提交漏洞,被查了水表,那么我该如何相信补天能在我提交漏洞的时候,确定我不会被查水表?
5、 构成犯罪年龄
6、 白帽子上传文件或者webshell是否会引起厂商误会?该如何避免误会?
7、 友情测试和犯罪的区别在哪?
8、 白帽子所做的是否违法刑法第二百八十五条第二百八十六条第二百八十七条这三条法律?
9、 用户的个人数据是不是一种财产?如果是,那么所有权人应该是谁?
10、 读取少量数据测试后,厂商却拿出日志说拖库,应该怎么办?
11、 拿到授权进行测试的,如果在授权范围内造成了致命性危害,会算违法吗?
12、 用户信息泄露,厂商是否需要为用户负责,承担法律责任呢?
13、 未经授权对某厂商进行了渗透测试,然后通知他们管理网站存在漏洞,在我未动数据的情况下他们报警了,然后我被抓了,还被拿走了笔记本,这种情况该怎么维权?电脑还能要回吗?厂商有没有责任?
14、 发现严重漏洞后有没有必要提醒用户更改密码,如果因没有提醒造成用户损失,厂商要不要担责?如果用户向厂商追责的话,白帽子要不要担责任?
15、 在某平台提交了一个危害较大的漏洞。虽然得到厂商确认,但却在索要我地址向我邮寄礼物时突然反口,说让我写保证书,保证以后不再入侵此公司网站,不写就报警,我该怎么办?
上述15个问题估计可以解决题主的绝大部分疑问了,不论是测试,授权,还是造成了一定的影响,补天的法务部门对此都有详细的解答。题主要问的估计就是第一个问题了,我们把第一个问题直接给题主粘过来;
------------------------------------------------------------------------------------------------------------------------
按照《刑法》第二百八十五条的规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,构成非法侵入计算机信息系统罪或者非法获取计算机信息系统数据罪。
所以,构成这种类型的犯罪要同时具备三个条件:1、侵入计算机系统;2、获取计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制;3、情节严重的。
只有这三个条件同时具备才构成犯罪,要受到刑罚。也就是说,仅仅是侵入计算机系统,但没有获取数据,或者侵入了,也获取了数据,但情节不严重的,也不构成犯罪,不受刑法处罚。
情节是否严重,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中有明确的规定,可予以参考。
PS:真不是我要复制啊,补天法律援助的解答很专业很详细,我真没必要造轮子在自己瞎解释一通。。。
」不要深入」,点到为止就行了
务必认真研读平台的白帽子手册(守则)以及当前项目要求
比如注入一般来讲就只能跑到表名证明。你要是不小心--dump。数据超过50条咋办?
又比如很多时候不准内网漫游,你又想测,建议提前问清楚 获得授权。并保留已授权证据
否则出事了说不清啊!
目前来说只要测试漏洞方法得当,知道底线,就没事,例如 SQL注入漏洞注入出库名即可,任意文件上传,证明能解析代码即可。