Salve, mi chiedevo se è possibile effettuare scan di vulnerabilità su siti web e/o su servers di cui non sono proprietaro ne admin per poi nell'eventualità segnalare se vi sono bugs, è un operazione considerata come reato informatico?
Come sarebbe possibile agire in modo lecito non essendo autorizzato?
E perche' lo chiedi qui? Vorrai mica insinuare che il php sia piu' bacato rispetto agli altri linguaggi?
Perchè spero che i programmatori di php e webmaster in generale conoscano la questione giuridica in merito meglio di me
Intanto potresti dare un occhiata alla pagina "legal issues" del progetto nmap, e' una lettura interessante sull'argomento
A me capitò una volta, mi arrivo una mail del tipo "Salve, vorrei segnalare che il vostro sito è vulnerabile a certi tipi ti attacchi e bla bla bla, per dimostrarlo ho creato sul vostro server queste pagine: [segue lista]"
Dopo l'infarto, ho controllato, individuata la falla e ringraziato colui che volendo avrebbe potuto fare danni ben peggiori.
Però legalmente non saprei, se ti becchi quello stronzo ti denuncia
Poi dipende anche da cosa fai: se punti uno spider o un programma che bombarda il server di richieste rallentandone il funzionamento (e in certi casi impallandolo proprio, fino a dare Forbidden) magari è anche lecito che al proprietario girino un pò gli zebedei eh
You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
I can accept failure, everyone fails at something - But I can't accept not trying.
Credo che a prescindere, sotto il profilo legale, è cmq una violazione.
Poi ovvio, se lo fai a fin di bene, ben venga...ma se poi gli dici..C'è sta falla dammi 50.000 € per dirti dov'è...lì diventa "Estorsione"
quoto
anch'io in passato ho segnalato svariate falle, anche se senza mai arrivare a creare file sul disco o compromettere database ... se trovavo qualche falla la segnalavo senza approfondire troppo onde evitare rischi
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
Quindi sta alla discrezione dell'admin e al suo buon senso, giusto?
Anche se si agisce tramite scanner e analizzatori di vulnerabilità senza sfruttare alcuna falla?
beh, io vado per logica...
se riesco a smontare il bancomat sotto casa mia e poi li chiamo dicendogli che è possibile portarlo via, non sò quante volte mi dicono grazie, anche se il bancomat lo lascio lì...
Non sempre essere l'ultimo è un male... almeno non devi guardarti le spalle
il mio profilo su PHPClasses e il mio blog laboweb
No, il buon senso dell'admin può evitare la denuncia, ma in caso di denuncia non sò bene cosa chi ha ragione.Originariamente inviato da ak13
Quindi sta alla discrezione dell'admin e al suo buon senso, giusto?
Anche se si agisce tramite scanner e analizzatori di vulnerabilità senza sfruttare alcuna falla?
Poi il buon senso deve essere anche dalla tua parte: se il tuo scanner mi impalla il server, un pò mi girano i maroni
You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
I can accept failure, everyone fails at something - But I can't accept not trying.
Permessi di invio
Rispondi quotando