传送门:
总结起来就是:
抓获一起侦办一起重大非法侵入计算机信息案。
某政府网站管理员向网安支队报警,该政府网络内局长信箱模块有网民多次发送非正常留言,后模块运行不正常,疑遭黑客攻击。
确定该网站被黑客使用(XSS)方式进行非法入侵后抓获了犯罪嫌疑人李培。
那么,李培为何会对银川市的政府网络实施黑客攻击呢?
他利用休息时间,在未授权的情况下,对银川市的某政府网站进行渗透测试,他的目的就是为了找出网站漏洞并生成漏洞报告,然后上传CNVD(国家信息安全漏洞共享平台
——“想为家乡做点贡献”
乍一看这新闻确实有些害pia
但是仔细一想,也有些地方值得探讨
1、首先,新闻内容对这位大哥在“渗透”过程中,具体是否使用有害语焉不详。
2、其次,测试行为并未取得授权。
此时此刻不由得让人想起了一个段子:
某监狱里政府网站安全漏洞解读,对话如下:
犯人A:你们都是怎么来的?
犯人B:我是XX漏洞平台挖漏洞不小心进来的。
犯人C:我是XX平台路人甲,输错命令了rm-rf / (批量删除)
犯人D:我是某测评中心的忘了要授权了……
犯人E:我。。。就是那个在群里成天陪你们吹牛逼斗图的啊!
犯人F:这下齐了,到底谁黑的我网站我不打死你,我是那个管理员站长。
对于在各大SRC平台和众测项目玩儿的风生水起的大佬,一定不会忘记那一纸授权协议,不知道大家如何看待,有人觉得多余,有人觉得是约束,其实,授权协议是对厂商和白帽子的双向保护,既能避免厂商被删库跑路,也能避免白帽子们被请去喝茶。
我们规规矩矩做事儿,肯定是安全的嘛~
3,CNVD属于政府部门么?
2
不过在此新闻出来之后,为了避免刚入门小白对安全环境的顾虑,先解决几个疑惑:
1.在挖洞测试站点过程中,怎样才不会犯法?
按照《刑法》第二百八十五条的规定,侵入或者采用其他技术手段,获取该中存储、处理或者传输的数据,或者对该实施非法控制,情节严重的,构成非法侵入罪或者非法获取数据罪。
所以,构成这种类型的犯罪要同时具备三个条件:
1、侵入计算机系统;
2、获取中存储、处理或者传输的数据,或者对该实施非法控制;
3、情节严重的。
只有这三个条件同时具备才构成犯罪,要受到刑罚。也就是说,仅仅是侵入计算机系统,但没有获取数据,或者侵入了,也获取了数据,但情节不严重的,也不构成犯罪,不受刑法处罚。
情节是否严重,《、关于办理危害安全刑事案件应用法律若干问题的解释》中有明确的规定,可予以参考。
2、无独有偶,其他平台也有白帽子挖洞被查水表的事件发生,我们怎么保护自己的权利,开开心心赚钱钱?
作为一名安全人员,法律法规知识必不可少,认清楚相关行为违法与犯罪的界限,尽可能在法律规定的前提下从事相关的行为甚至比技术实力更加重要,要不断地提高自己这方面的法律意识,知道哪些行为可以做,哪些行为不可以做。
3、白帽子上传文件或者是否会引起厂商误会?该如何避免误会?
这个行为需要严格注意。
白帽子上传文件或,如果只是公布个漏洞名称还稍微好一点,如果将细节都进行公开,就意味着将厂商网站存在的漏洞全部暴露出来,这个行为的后果很有可能会被黑客利用并侵入厂商的计算机系统。
如果黑客的破坏行为达到"后果严重"的标准,那白帽子这种行为肯定不会得到厂商的认可,而且,由于这种行为帮助或方便黑客实施犯罪行为,从这个角度来讲,白帽子的行为很有可能对厂商所遭受的损失承担一定的赔偿责任。
3
结合各种被查水表的事件案例,提供建议如下:
1.为了规避可能触犯的法律风险政府网站安全漏洞解读,建议大家在挖洞前和相应的漏洞平台及厂商签好相应的涉及到具体测试的合约
2.建议大家尽可能测试有src的厂家的漏洞,src的设立表明了企业对安全的重视,白帽子提交的漏洞能得到更及时的反馈,帮助更好地维护大环境下的网络安全
3.可以多参加大平台发起的一些src的活动,安全客SRC导航任君挑选。
4.除了各种法律法规,做到心中自有底线, Do not be evil(不作恶)
懂得保护自己*重要
◆ ◆ ◆ ◆ ◆
愿我们都能在挖掘漏洞的道路上,不忘初心。
初心还在,这条路便能越走越远