即使您没有利用它们,是否有可能在识别Web应用程序中的漏洞时遇到法律问题?
我曾经考虑过使用像NetSparker这样的工具来查看某个网站是否有任何漏洞,我想联系该网站的所有者,看看他们是否有兴趣修复它.我怀疑其中一些人可能会生气或误解我的意图,我很好奇我是否可以因为发现这些安全问题而遇到麻烦.
如果您正在寻找开源软件或商业分发软件中的漏洞,并且您是美国公民,则受第一修正案的保护.编写漏洞利用代码并做任何你想做的事情是合法的(只要它不卖给恐怖分子/暴徒).如果您确实发现了漏洞, 请将其报告给BugTraq并将其放在简历上.多年来,我已经积累了大量的CVE编号,并积极编写漏洞利用代码.
在德国和法国,法律有点不同,拥有像浏览器代码甚至NMAP这样的"黑客工具"可能会让你入狱.您可能还对完全披露的法律感兴趣.
另一方面,如果你到处扫描人们寻找漏洞的网站,你就违法了 ,FBI会调查你. 未经所有者许可,不要在随机网站中查找漏洞.