Implicaciones legales en bug XSS.

Iniciado por WarGhost, 11 Septiembre 2012, 04:45 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

WarGhost

11 Septiembre 2012, 04:45 AM
¡Hola a todos!

Me gustaría saber hasta que punto es ilegal el uso de bugs XSS no persistentes, por ejemplo ¿es ilegal poner en Twitter una URL de la web Marca y en esta url que haya un XSS que cambie algún resultado etc..?

En principio ni se esta rompiendo nada, ni se esta modificando ningún dato en sus bases de datos, servidores etc.. simplemente es una broma que se ejecuta en el navegador del que abre la URL.

¿Alguien que entienda o sepa algo del tema? :P
Gracias!
¿Qué culpa tengo yo de tener la sangre roja y el corazón a la izquierda?

WHK

#1
19 Octubre 2012, 18:47 PM Ultima modificación: 19 Octubre 2012, 18:49 PM por WHK
Todo depende del pais, en chile el tema es dificil, un xss normal puede ser totalmente ilegal porque los jueces son tan brutos que no saben diferenciar de un celular y un zapato. Por lo contrario en rusia y estados unidos es totalmente legal siempre y cuando no se comprometa la integridad del servidor.

De todas formas siempre está la posibilidad legal de guardar la página utilizando el menú "guardar como" del explorador y desde ahi testear el xss reflejado y sería totalmente legal en todos los paises porque estás dando a ejecución de un script guardado en tu computadora.

El XSS reflejado es ejecutado e interpretado en tu explorador por lo tanto no estas invadiendo nada, te estas invadiendo tu propio explorador nada mas, por lo contrario si es persistente ahi el panorama cambia ya que estarás afectando a los visitantes y puede que afectes la integridad del servidor (ya que recordemos que un xss puede hasta robar sesiones de administración).

Ahora también es distinto si es un xss reflejado y lo publicas, otros lo pueden utilizar para robar sesiones y tu serás el autor intelectual de los ataques por colaborar a la difusión de la falla. En otras palabras n debería ser ilegal hasta que lo publiques, despues de eso no se que pasa.

Deberias documentarte legalmente dependiendo del pais donde estes.

WarGhost

#2
23 Octubre 2012, 16:08 PM
Muchas gracias por tu respuesta @WHK, la verdad seguiré buscando... pero no encuentro mucho.
Es curioso que sea más fácil encontrar la forma de explotar vulnerabilidades, que encontrar sus respectivas legislaciones.
¿Qué culpa tengo yo de tener la sangre roja y el corazón a la izquierda?
Imprimir
Ir Arriba Páginas1
Acciones del Usuario