一:刑法
1.非法侵入計算機系統罪
刑法285條規定,同時具備下面3個條件就構成違法犯罪:
- 侵入計算機系統
- 擷取計算機資訊系統中存儲,處理或傳輸的資料,或者對該計算機資訊系統實施非法控制
- 情節嚴重
關于情節嚴重的解釋:
擷取支付結算、證券交易、期貨交易等網絡金融服務的身份認證資訊10組以上的
非法控制計算機資訊系統20台以上
除網絡金融服務之外的其他網站身份認證資訊,擷取500組以上
違法擷取利益5000元人民币以上或者造成經濟損失10000元以上
例子:
帽子小p在網上挖漏洞他發現自己可以入侵對方網站,比如擷取背景的普通權限,但由于不是管理者權
限,無法直接擷取資料或者對網站進行控制,這種情況是不構成犯罪的。 小p突然靈光一閃,用xss打到管
理員cookie,擷取了網站背景及資料庫權限,一時興起他用SQLMAP跑了600組(超過了500組)賬号密碼數
據,這種情況下他已經構成犯罪了。
小p接受法律教育後,在測某銀行APP時,發現有漏洞可以擷取認證資料,但他點到為止,隻跑了5組
(沒超過10組)作為證明,這種情況也是不構成犯罪的。
2.破壞計算機系統罪
刑法286條規定,對計算機資訊系統功能進行删除、修改、增加、幹擾,造成計算機資訊系統不能正常運作,并且滿足後果嚴重的條件,就構成違法犯罪。
- 造成十台以上計算機資訊系統的主要軟體或者硬體不能正常運作
- 對二十台以上計算機資訊系統中存儲、處理或者傳輸的資料進行删除、修改、增加操作
- 違法所得五千元以上或者造成經濟損失一萬元以上
- 造成為一百台以上計算機資訊系統提供域名解析、身份認證、計費等基礎服務或者為一萬以上使用者提供服務的計算機資訊系統不能正常運作累計一小時以上
- 破壞國家機關或者金融、電信、交通、教育、醫療、能源等領域提供公共服務的計算機資訊系統的功能、資料或者應用程式,緻使生産、生活受到嚴重影響或者造成惡劣社會影響
小p在測試時,用掃描器把某網站掃挂了,但他發現後及時停止掃描,是以沒有觸發後果嚴重的條件,是以
還不構成犯罪。 小p手一抖誤删了資料庫,結果網站癱瘓了,不管是否是失誤,隻要該網站伺服器超過10
台,就已經構成犯罪
二:總結
在平常的挖洞中,要得到廠商授權再測試,各大衆測平台和廠商的SRC都是有授權的正規管道
三:參考
https://butian.360.cn/Help/law