продажа уязвимостей админам

Добрый вечер.
Подскажите, а законом запрещена продажа найденых уязвимостей администраторам ресурсов?
С одной стороны это может показаться вымогательством/мошенничеством, а с другой - каждая работа должна быть оплачена

 

Это смотря на адекватность самих админов. Пусть баблосы выкладывают.

 

Ну тыже неправомерный доступ к инфе не получил (шелл не залил, БД не слил), через скулю\сплоит инфу не вывел, вполне думаю законно)

 

Тоже самое что вскрыть твою хату, и ни чего не вынести, вполне законно?

 

Вроде даже раскрутка скули и заход в админку не подпадает, а вот если ты там хоть что-то изменишь, уже попадос.
А лучше с юристом конультируйся.

 

вскрыть - это залить шел, а найти возможности атаки и отсутствие фильтраций - только поковырять отверткой слабые места)

 

Все наказуемо братан, но если админы адекватно оценят ситуацию, то бери бабки

 

Это скорее предоставление услуг по обеспечению безопасности.
Тут нужно знать где грань.
1) Нужно знать, что уголовное дело возбуждается по факту нанесения ущерба.

2)Не должно быть какого-либо психологического давления на владельца (у меня есть скуля, если не заплатите, вскрою вашу бд) (вымогательство)

Ну и напоследок, хотя я считаю, что это практически нереально, но все же может попасться умный заказчик.(Банки, какие-либо серьезные конторы) Дело в том, что это очень щепетильное дело, и в случае успешного выполнения работы, заказчик по каким-либо личным причинам (не захочет платить деньги, захочет сбить с тебя деньги) может написать заявление по ст 163 УК РФ. Поэтому нужно заключать договор, что бы обезопасить себя от таких выходок.

 

Дело говоришь, надо анонимно отправить уязвимость и намекнуть на то, что не откажешься от благодарности на фэйковый кошелёк.
Я б отблагодарил :3

 

если админ не жопошник то думаю он заплатит за найденую дырку. хотя есть такие что и на измену подсаживаются и начинают грозится судами за то что их сайт трогал

 

Если до своего исследования и поиска баг ты заключил договор/договорился с владельцем ресурса провести поиск уявзимостей за вознаграждение, то да, это будет более менее законно.
Если ты нашёл багу и вымагаешь деньги - то это так и называется шантаж и вымогательство. Ведь тебя никто не просил искать их, это твоя инициатива, за которую ты же и хочешь денег. Так что давайте называть вещи своими именами.
Самое правильное безвозмездно отправить уязвимость админам и они, возможно, предложат тебе уже за деньги обнаружить и закрыть другие уязвимости. А могут и не предложить.

 

если ты поставил кавычку, увидел ошибку, и эту информацию админу отправил, это ничего не нарушает, а если ты вывел с помощью этой уязвимости какую либо информацию, то это уже нарушение закона.
к тому же надо понимать что админ далеко не всегда владелец сайта, и его интересы значительно отличаются от владельца.

 

Суши сухари.

 

лучше бандитам продай уязвимость, они заплатят

 

а если найти уязвимость, а потом предложить провести аудит его админу(не говоря про уязвимость)?

 

скажи так: Я профессионал в области ИБ и глядя на ваш сайт, мой анус разрывается намекая что сайт СУППЭЭР уязвим, и я хотел бы с вами поспорить на 10000$ что за неделю найду как до бд добраться.

 

да даже если ты и нашел что-то, ты нашел это не случайно, ведь так?
лучше отдай как говорилось бесплатно, денег не получишь, но спасибо скажут.

 

От ситуации зависит. С начала поговорить надо с человеком, а там уже видно будет, взять денег с него или от греха подальше бесплатно отдать.