版权声明:本文为博主原创文章,转载请注明原创链接! https://blog.csdn.net/qq_39112646/article/details/89249992
一:刑法
1.非法侵入计算机系统罪
刑法285条规定,同时具备下面3个条件就构成违法犯罪:
- 侵入计算机系统
- 获取计算机信息系统中存储,处理或传输的数据,或者对该计算机信息系统实施非法控制
- 情节严重
关于情节严重的解释:
获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的
非法控制计算机信息系统20台以上
除网络金融服务之外的其他网站身份认证信息,获取500组以上
违法获取利益5000元人民币以上或者造成经济损失10000元以上
例子:
帽子小p在网上挖漏洞他发现自己可以入侵对方网站,比如获取后台的普通权限,但由于不是管理员权
限,无法直接获取数据或者对网站进行控制,这种情况是不构成犯罪的。 小p突然灵光一闪,用xss打到管
理员cookie,获取了网站后台及数据库权限,一时兴起他用SQLMAP跑了600组(超过了500组)账号密码数
据,这种情况下他已经构成犯罪了。
小p接受法律教育后,在测某银行APP时,发现有漏洞可以获取认证数据,但他点到为止,只跑了5组
(没超过10组)作为证明,这种情况也是不构成犯罪的。
2.破坏计算机系统罪
刑法286条规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,并且满足后果严重的条件,就构成违法犯罪。
- 造成十台以上计算机信息系统的主要软件或者硬件不能正常运行
- 对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作
- 违法所得五千元以上或者造成经济损失一万元以上
- 造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上
- 破坏国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序,致使生产、生活受到严重影响或者造成恶劣社会影响
小p在测试时,用扫描器把某网站扫挂了,但他发现后及时停止扫描,所以没有触发后果严重的条件,因此
还不构成犯罪。 小p手一抖误删了数据库,结果网站瘫痪了,不管是否是失误,只要该网站服务器超过10
台,就已经构成犯罪
二:总结
在平常的挖洞中,要得到厂商授权再测试,各大众测平台和厂商的SRC都是有授权的正规渠道