你要学会保护自己


first,我们要知道一些我国刑法所立,你测试时严禁,100%不能去触碰的底线,毕竟我们在做测试时候,要先保证自己不进去,然后再开始工作嘛。
这里我有篇文档,大家可以看下:传送门

中华人民共和国刑法》第二百八十五条 非法侵入计算机信息系统罪

违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

中华人民共和国刑法》第二百八十六条 破坏计算机信息系统罪
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。

以下是我在网络上找的的解释:
1.非法侵入计算机系统罪:刑法285条规定,同时具备下面3个条件就构成违法犯罪:也就是说如果同时具备下面三个条件就会构成违法犯罪:
侵入计算机系统
获取计算机信息系统中存储、处理或传输的数据,或者对该计算机信息系统实施非法控制
情节严重
情节严重按着4条具体情况:
**获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的
除网络金融服务之外的其他网站身份认证信息,获取500组以上
非法控制计算机信息系统20台以上
违法获取利益5000元人民币以上或者造成经济损失10000元以上**
举几个具体例子可能更加直观。白帽子小p在网上挖漏洞,他发现自己可以入侵对方网站,比如获取后台的普通权限,但由于不是管理员权限,无法直接获取数据或者对网站进行控制,这种情况是不构成犯罪的。 小p突然灵光一闪,用xss打到管理员cookie,获取了网站后台及数据库权限,一时兴起他用SQLMAP跑了600组(超过了500组)账号密码数据,这种情况下他已经构成犯罪了。 小p接受法律教育后,在测某银行APP时,发现有漏洞可以获取认证数据,但他点到为止,只跑了5组(没超过10组)作为证明,这种情况也是不构成犯罪的。

2.破坏计算机信息系统罪:刑法286条规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,并且满足后果严重的条件,就构成违法犯罪。那么哪些情况属于后果严重呢?我来帮大家梳理一下。
造成十台以上计算机信息系统的主要软件或者硬件不能正常运行
对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的
违法所得五千元以上或者造成经济损失一万元以上的
造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上
另外一种情况属于后果特别严重,要千万注意。破坏国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序,致使生产、生活受到严重影响或者造成恶劣社会影响
还是举例来帮助大家理解。

小p在测试时,用扫描器把某网站扫挂了,但他发现后及时停止扫描,所以没有触发后果严重的条件,因此还不构成犯罪。 小p手一抖误删了数据库,结果网站瘫痪了,不管是否是失误,只要该网站服务器超过10台,就已经构成犯罪。


还有以下这些例子
   1、小A如果未经授权就去开始渗透测试,或者开展渗透测试的时间不是在客户授权的时间,或者测试范围超过了客户的授权,都可能被认定为是非法入侵他人网络的违法行为,需要承担法律责任。

     2、小A在客户授权下进行渗透测试,但是在测试过程中窃取或篡改了客户的数据,也构成违法行为,将会面临法律责任。

     3、小A在客户授权下进行渗透测试,发现了客户系统的漏洞,正常情况下应该联系客户修复,但是小A对外公布了这些漏洞,这属于违法行为,将面临法律责任。

     4、小A写了一个批量获取肉鸡的工具,上传到网上,这属于提供危害网络安全活动的程序、工具,也属于违法行为,将面临法律责任。

     5、朋友在做一些窃取别人网站数据的违法事情,找到小A,小A通过漏洞拿到的网站的权限,然后提供给朋友,这个过程,小A提供了技术支持,同样面临法律责任。

     6、小A写了一个程序或者修改别人的程序,在程序中插入了恶意代码,然后发布到网上被恶意传播,导致大量用户中招,会面临严重的法律责任。

     7、小A无意中发现了某城市交通的系统漏洞(国家关键信息基础设施:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域),然后进行入侵,干扰正常的业务功能。

       由于这些关键信息基础设施一旦遭到破坏,可能会严重危害到国家安全、国计民生、共公共利益,因此小A将会面临更严重的法律责任。发现问题,应该第一时间联系有关部门(例如国家互   联网应急中心)通知修复。

     8、小A在境外对中国境内的能源基础设施做渗透,造成系统瘫痪,也会面临法律责任。


我们要尽量做到:

  • 进行渗透测试前要取得客户授权;
  • 在客户授权的时间和测试范围内进行测试;
  • 发现漏洞尽快通知用户,不公布和传播漏洞;
  • 不窃取、出售、篡改用户数据;
  • 不恶意攻击他人服务器;
  • 不在他人服务器留后门;
  • 不去入侵或干扰国家关键信息基础设施的系统;
  • 不协助他人攻击别人服务器;
  • 不传播恶意攻击程序。

以上案例来自:传送门

最后说些我自己的话,我希望我们不因为不懂法律而导致触犯法律,我们要为网络做贡献的同时也要保护自己。就像我们希望运动员远离伤病一样,我希望我们不要因为不懂法而不小心触犯。
要懂得拒绝,对黑产说不!

声明:苏茗鹿的空间|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接


Carpe Diem and Do what I like