白帽子的未經授權滲透測試合法嗎？

01-05

問題來源：白帽子黑客是怎樣的一群人？
以及評論：有些廠商對於白帽子的滲透測試+通知漏洞行為給予了「走法務抓人」反饋
發現問題被改成了「白帽子黑客所做的事情合法么」。為避免不必要的延伸，我明確去掉Cracker，僅問白帽子，
依據《刑法》285~287條，非法獲取、非法控制是犯罪行為，

白帽子的未經授權發現漏洞並告知行為呢？如果「走法務抓人」，依據是《刑法》么？
特別地，烏雲的法律合規問題是如何解決的？是否可堪大家學習借鑒？
多謝！

嚴格來講白帽子其實是不合法的，不僅烏雲，各大src上的也是。只是，對於廠商來說，你的測試沒有危害到他們而且給了善意的提醒他們也不會傻到去報警抓你。況且立案需要足夠的證明，而且情節不嚴重的處罰也輕，換來的卻是一大堆人以後在暗地裡搞你，這種損人不利己的事對於追求利益的企業來說絕對是傻到家的做法。如果在測試的時候手癢down了別人的資料庫把漏洞交到哪裡別人想抓你都是應該的，漏洞證明可不需要整個資料庫。所以做事前請三思

自問自答下，感謝大家的已有回答。滲透測試的合理不合法，大家都講到了，但是執行過程中違法與否的臨界點，以及烏雲的合法性，並沒有被提及。今天有機會與網安的同行聊了下這個問題，分享答覆如下（備註是個人補充）

1、未經授權就進行黑盒測試，嚴格來講是違法的。滲透測試只能在授權過的範圍內做。

2、但是業內默認許可烏雲這種提交漏洞的方式。

它在漏洞被廠商確認（註：或積極忽略）後才會公開，即公開時已經被廠商修補了。

由於烏雲上都點到為止，只證明漏洞存在，不真正實施破壞、控制或獲取，所以「被害人」即廠商不會通過司法途徑解決，而是支持這一良好環境，甚至予以物質反饋，對自身也有益。

但是如果廠商已經被拖了一部分庫，或數據被篡改了（註：可概括成危害到了安全三性），那麼常常就會採取行動抓人了。

3、烏雲的法律合規問題，是通過聯合「國家應急響應中心」來獲得資質的。

即烏雲做這件事是合法的。網安推薦廠商都到烏雲註冊成廠商，積極解決問題，避免被「國家應急響應中心」找麻煩。

當然了，烏雲還有兩個不好的傾向。

一是有人會把證明漏洞寫成了POC，降低漏洞被利用的難易度，而烏雲對此沒有嚴格的審核修正。

二是一個漏洞被公布後，它實際存在於更多網站上，故而從一定角度上來講，這促進了全網攻擊。

本問題邀請了 @張小沖，如若有機會，還是希望本人能評論一二，共同探討。感激不盡。

看圖說話，截圖來自【騰訊微信軟體許可及服務協議】：微信，是一個生活方式

我們知道白帽子提交的每一個【漏洞】，無論通過何種渠道提交，每一個都是來自於自己的辛苦研究和付出，從方法論的角度談漏洞挖掘必須要提到【逆向工程】（騰訊的授權協議里給出的是【反向工程】，都來自英文單詞reverse engineering），不談別家，按照以上軟體許可，如果你「發現」了微信的漏洞，那麼恭喜你：你已經【違法】了：D

題主的問題標題是：白帽子是否【合法】，那麼按照以上推理過程，當然不合法。那麼，為什麼絕大多數的白帽子和軟體廠商之間又是和平共處的呢？原因很簡單：白帽子雖然違法，但不會去犯罪。這個原因不用我過多科普解釋了，白帽子不濫用自己發現的漏洞，這種行為就是對軟體廠商最大的尊重，對軟體廠商用戶最大的保護。廠商如果免費獲得了漏洞信息，基於此改進了自己的產品，保護了自己的產品聲譽和用戶，當然高興。如果同時還避免了漏洞一旦被「壞人」利用帶來經濟損失的風險，那麼即使白帽子基於【違法】事實發現併合規提交漏洞給自己，付費買漏洞也樂意啊！

我在上課時說的【幹活】，指的是基於商業合同的風險評估行為，國內主要是一些有行業政策要求的單位，例如銀行、證劵公司、政府部門等，付費給專業安全公司進行風險評估、漏洞發現類服務，沒有合同對這些甲方單位來說：一來拿不到測評報告，也就無法取得相關資質證書，無法開展某些行業服務；另一方面來說，簽合同本身明確和約束了甲乙雙方的權利與責任，乙方也要考慮自己的行為風險，避免被甲方以刑法修正案第285條起訴自己：非法獲取自己系統里的機密數據。（插播科普：雖然風險評估過程甲方普遍要求不對被測試目標系統破壞，但普遍不會限制獲取數據類行為。某些變態的甲方，還會很賤賤的要求：你說我系統有漏洞、不安全是吧？那你來拿我的機密數據啊，你來啊，你來啊）。所以，簽合同是一個他好，你也好的必要措施。

肯定是屬於違法，但是只要不構成惡意的破壞，是沒有問題的。

在wooyun提交漏洞的人一般都知道輕重，無論是下載內部文件還是內網漫遊，都會點到為止。

如果廠商因為白帽子的滲透而抓人了，那麼該廠商將會迎來更多的網路攻擊，別人給你指出來了而被你一棒子打死，那麼再出現漏洞肯定流入黑產而不通知廠商。

我其實想說的是：現在wooyun裡面就有很多網警！我知道有北京的，有濰坊的。其他的暫時不清楚了，他們挖掘的漏洞也很可觀。

違法但是合理恩

只能說白帽子違法了,但是沒有犯罪,如果真的要追究責任,個人覺得還是白帽子受罪.

謝邀~

白帽黑客和黑帽的區別就在於是否有惡意，這一點其實很容易證明，比如查詢伺服器日誌。

但是從法律角度來看，鑒別入侵行為是否合法的唯一標準就是預先授權，也就是說從法律角度來說，烏雲絕大多數白帽子的大多數安全測試都是不合法的（烏雲眾測合法，這是授權測試）。

只是一般來說白帽子的檢測並沒有給廠商帶來多大損失，入侵本身也沒有明顯惡意，還主動告知漏洞及修補方案，大多數通情達理的廠商都不會選擇「走法務抓人」，雖然廠商這麼做完全是合法的，這樣會顯得很小家子氣~況且真這麼做了會讓不少白帽子心寒，正如白帽子黑客是怎樣的一群人？中刺總所言「別嘗試做出會激怒所有白帽子的行為，他不是一個人在戰鬥。」隨意抓人的後果很可能是不再有人報告該廠商漏洞，甚至可能有人會直接公開漏洞。與得不到漏洞報告或者漏洞被直接公開相比，一句感謝或者再送個小禮物似乎更明智一些。但這並不意味著非授權檢測變的合法，只是「受害人」不追究。如果廠商一定要追究責任，從法律角度來講是完全有依據的。

最後祝各位白帽子兄弟水表安好~

2017年，你的疑問可以解答了，烏雲網是違法的。已經被依法關閉。

以攻擊者的身份來想辦法入侵網路系統，在發現漏洞後，再想辦法對其修補或防護。

因為是個系統就有漏洞，漏洞得有人發現才能堵住，但是安全專家很多時候由於思考角度等各方面問題不能保證方方面面都考慮到，所以得請些黑客來幫忙，而發現漏洞就是黑客攻擊的重要環節。

但黑帽子和白帽子的最大區別在於攻擊是否在被攻擊者的知情允許的情況下進行。

突然想到我現在補的番白帽子就類似於psycho-pass里的執行官。。。好吧扯遠了

只能說這是一把雙刃劍，至於有罪或無罪(情理上來說無罪)，完全取決於使用者。

違法但是合理。

一句話解釋：一個小偷撬了你家的門鎖，非但沒有偷你家的財物，還告訴你該換鎖了——你是應該去派出所報案還是應該感謝他？