Wpis z mikrobloga

@Pan_Qcek: zobacz czy w paczce nie ma wezwania do sądu ( ͡° ͜ʖ ͡°)

@Pan_Qcek: no cóż, zawsze mogliby zgłosić na policję takie nieproszone testy penetracyjne i miałbyś wjazd na chatę o 6 rano ( ͡° ͜ʖ ͡°) Szanuję ( ͡° ͜ʖ ͡°)

( ͡° ͜ʖ ͡°)

od lipca 2017 póki nie ujawnie wykradzionych danych nie mają do tego prawa

@Pan_Qcek: jaki przepis wyklucza w tej sytuacji zastosowanie art 267 par 1 kk?

Pokaż spoiler

@Pan_Qcek: mozesz dac zrodlo do poczytania o tym?

@Pan_Qcek: Gratuluję pierwszego bug bounty :)

Ja pamiętam kiedyś się nudziłem i zajrzałem do źródła najpopularniejszego systemu analytics po GA - Piwik. Znalazłem niezłego buga ( mozna bylo statsy ściągać bez autoryzacji :D ) i dostałem 500$ :D

Teraz bugów szukam na pełny etat :P

@Pan_Qcek: aa, w sensie ze kasę zgarniałeś już wcześniej? :P

@Pan_Qcek: a kasę dali? ( ͡° ͜ʖ ͡°)

@Pan_Qcek: serio będzie można legalnie przeprowadzać niezamówione pentesty? Mógłbyś mnie nakierować na jakiś artykuł mówiący o tej zmianie? Z góry dziękuję :)

@Pan_Qcek: Zainteresuj się programami bug bounty - np na hackerone. Widziałem często ludzi zgarnaiajacych przyjemne pieniążki za dość lame bugi.

@Pan_Qcek: znalazłem podobny błąd też w sklepie internetowym 200k zamówień z całymi danymi zamówienia wysyłki itd. #!$%@? dostałem :D

serio będzie można legalnie przeprowadzać niezamówione pentesty?

@Piaer: Tak, ale inaczej niż się @Pan_Qcek wydaje to dotyczy wąskiego zakresu czyli
a) Art 267 par 2 - dostęp do całości lub części systemu informatycznego
b) Art 269a - zakłócenia pracy systemu informatycznego, systemu teleinformatycznego
lub sieci teleinformatycznej,

To co nadal jest karalne to:
a) Art 267 par 1 - Przełamanie zabezpieczeń i uzyskanie dostępu do informacji (np do loginów i haszy haseł)Pokaż całość

@maniac777: Ok, a wyjaśnij czym się różni dostęp do całości lub części systemu informatycznego od Przełamanie zabezpieczeń i uzyskanie dostępu do informacji (np do loginów i haszy haseł) . Widzę stronę www z ofertami pracy która ma xssy itd. W ramach testu wsadzam robaka do db który pobiera z prywatnej strony zalogowanego CV i wysyła na inny adres, ale testuje atak tylko na swoich kontach na kilku maszynach. Złamałem prawo?

@Bezzalogowy:to ocenilby sąd. IMHO czym innym jest przelamanie zabezpieczen aplikacji (np sqli) i czym innym systemu (np zalogowanie via ssh)

@maniac777: przez sqli da sie przejac system i dobrac do ssh :p Bez wzglesu czy do cv innego konta dobieram sie przez apke z xss, sqli czy dziure w os lub slabe haslo i wchdze na ssh teminalem po innym porcie niz 80, dokonuje pentestu ktory ma na celu np pobranie moich danych z innego konta. Osobiscie nadal nie widze roznicy a jest ona kluczowa aby nie isc siedziec...