未授權滲透測試中的法律邊界是什麼？

01-24

現在看烏雲上的相關內容寫到了只要加入烏雲的廠商。對白帽子符合滲透測試規範的行為都不會去追究，我一直在想，假如這個廠商未加入烏雲。但是有一個白帽子報告了他的漏洞至烏雲。整個滲透測試的過程不存在刪除，更改，下載，等影響廠商業務的操作。也沒有對廠商造成任何危害。也沒有在時候以發現漏洞為由對廠商尋求獎賞這樣的勒索行為。那麼如果廠商還是追究該白帽子的責任。該白帽子是否真的就違法了
如果違法，是違反了哪條相關法律。是屬於刑事犯罪還是屬於民事責任。如果上了法庭，那麼中間人烏雲是否又有責任（以上內容純屬我想像的情況，並未真實發生）。請各位有能力有該方面經驗的人士解答一下!

《刑法》第二百八十五條　違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年以下有期徒刑或者拘役。

　　第二百八十六條　違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，後果嚴重的，處五年以下有期徒刑或者拘役；後果特別嚴重的，處五年以上有期徒刑。

　　違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，後果嚴重的，依照前款的規定處罰。

　　故意製作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，後果嚴重的，依照第一款的規定處罰。

從以前抓人並判刑的一些案例來說，拖了5000條數據的，就可以判刑了。而現在資料庫里一般都是上百萬千萬數據的，一個手抖幾萬條數據就出來了。

從行業慣例來講，正規滲透測試都是需要廠商簽署授權協議，並指定授權範圍和要求的。

因此，有些白帽子的行為都是非法的，非法的，非法的！重要的事情說三遍！

「漏洞披露」本身不違法，但是獲取漏洞的手段或後果卻有可能。因為很多白帽子都是法盲，所以被抓進去挺可惜的。

類似的攻擊行為實際上是非常敏感的，實際上用安全掃描器掃境外網站，只要不小心掃描到國外政府的站點，因為請求裡帶了一些攻擊性的payload，我國外交部都會直接收到對方政府的投訴，引起外交事件（多次真實發生的事情）。

為什麼現在很多漏洞被爆出來卻沒人管？也沒見苦主？一方面，有能力抓人的非常少（司法能力欠缺），一方面，是這些廠商公關的冷處理，避免進一步發酵。當然還有純粹不當回事的，只要老闆沒看見，下面的人就不會捅出來。

最後，再強調一下，入侵阿里云云盾保護的客戶，只要不是客戶書面（包括電子）簽署授權的合法滲透測試，情節嚴重者，雲盾都會配合客戶直接溯源定位到人，已經抓進去好幾個了，還有一些正在走司法流程。阿里云云盾的理念就是，犯我客戶者，雖遠必誅。

----------------- 補充 -------------------

烏雲的出現是中國安全產業的一次里程碑。客觀地說，是烏雲喚醒了廠商們在安全上的意識，並間接的催生了安全市場的增長。

原來國內也這樣啊...

當初在學校的時候,頭三周就是講法律知識,給我們講各種法律法規和案例.

比如什麼去爬city council資料庫抓進去關了5年,還有UCL一個倒霉的哥們在宿舍黑人家網站被判了兩年...

反正就是各種嚇唬...

然後三周後寫一篇關於信息安全法律法規的論文,合格之後還得簽一份聲明書,

保證自己在課堂里學到的所有相關技術只應用於實驗室內,不在其他地方進行嘗試...

在家抓包有時候我都不敢...

有時候真不知道自己學這個幹什麼...

都是違法的，沒有邊界，全都是，嚴格說連漏洞掃描都是

首先，烏雲平台上好像沒有明確寫"只要加烏雲的廠商，對白帽子符合滲透測試規範的行為都不會去追究"；

其次，按照題主說的沒有對數據做任何的修改、下載、刪除，沒有對服務造成掛機之類的影響，那應該是沒有犯法的。比如我測試個越權查看其它人的訂單，沒有進行遍歷獲取訂單，肯定就不算犯法了；

第三，烏雲是一個靠譜的有助於信息安全愛好者從業者成長的學習平台，不靠譜的"白帽子"的不靠譜行為導致的法律後果，應該跟烏雲是沒有多大關係的吧。好的東西被壞人利用，那應該是怪好東西還是怪壞人呢？就比如菜刀既可以做菜，也可以被壞人用來殺人，是怪菜刀生產者、銷售者，還是怪壞人呢？不知道這樣舉例恰不恰當！

第四，不靠譜白帽子或者不靠譜廠商的行為，也是會導致大多數靠譜白帽子受影響的，本身白帽子免費給廠商找漏洞，靠譜廠商應該會比較感謝地，可以多看看一些靠譜廠商對白帽子的態度，比如我知道的今日頭條，支持靠譜白帽子進行深入滲透，高危以前是直接送Mac的！

另外，烏雲除了烏雲主站，還有zone，drops，tangscan，三個白帽，wiki等等，都是挺靠譜的，可以多關注一下。

當年被抓緊去關了一個月，罪名是開發黑客軟體，並傳播876次。滲透測試的邊界就是你別掃描，別爆破，啥事都別干。因為自從你想測試的那一刻起，就沒有授權，並且動機不純。別我我直接，動機這是jc說了算，你沒法證明，因為你已經行動了。個人永遠處於弱勢，最後還是匿了吧。熟讀法律是滲透測試的基礎，切記切記

不是學法律的，可以去i春秋看看，裡面有公開課，好像講了的！

要我說：只要別被現場抓到就可以了，恩就是這樣，還有別去搞gov，我一般碰都不碰...

給你個鏈接吧，可以去看看 i春秋的：

白帽子的法律培訓課程詳情

是的，看上面的鏈接，相信你會喜歡的....

謝邀

按照《刑法》第二百八十五條的規定，侵入計算機信息系統或者採用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制，情節嚴重的，構成非法侵入計算機信息系統罪或者非法獲取計算機信息系統數據罪。

所以，構成這種類型的犯罪要同時具備三個條件：1、侵入計算機系統；2、獲取計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制；3、情節嚴重的。

只有這三個條件同時具備才構成犯罪，要受到刑罰。也就是說，僅僅是侵入計算機系統，但沒有獲取數據，或者侵入了，也獲取了數據，但情節不嚴重的，也不構成犯罪，不受刑法處罰。

情節是否嚴重，《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》中有明確的規定，可予以參考。

-------------------------

可以參考下360的這個專欄-&>補天 - 全球最大的漏洞響應平台，幫助企業建立SRC

也就是天朝法律不健全，在韓國未授權的埠掃描都是違法的。你說邊界在哪裡？

裡面用了2個「或者」，所以這三個條件只要滿足一個，就可以抓人。

「情節嚴重」這個，哪怕你是控制了一台，比如法院的——哪怕是在公網的計算機，他們也可能定性為嚴重，這個並不是白帽子說了算的。直白點說：人為刀俎，就是這。

聽說沿海某省，未經授權的掃描，也是可以抓人的。還好，絕大多數省份並沒有明文這麼說。

在刀刃上跳舞。就這。