Mes amis ont exprimé leur intérêt pour le piratage, mais nous ne voulons rien faire d'illégal, et avons considéré CTF365, mais c'était BEAUCOUP trop cher. Est-il possible/légal pour l'un de nous de créer un site Web privé pour nous de pirater, ou de jouer à l'attaque/défense avec nos deux sites Web?
À ma connaissance, oui, c'est légal. Chaque loi anti-piratage dont je suis au courant fait référence à l'accès non autorisé, et si vous avez la permission de le pirater, ce n'est pas non autorisé, n'est-ce pas?
Notez que vous devez faire attention à certaines choses. Certaines juridictions interdisent la possession d '"outils de piratage" (semblable à l'interdiction de possession de crochets, mais moins bien définie), et certaines techniques, telles que l'usurpation de paquets ou (D) DoS, peuvent avoir des dommages collatéraux qui iraient à l'encontre de la loi .
Vous voudrez également vérifier l'opinion de votre hébergeur sur ce que vous faites. Ils peuvent ne pas le permettre en raison d'effets possibles sur d'autres clients; si vous hébergez le site Web sur votre connexion à domicile, vous violez peut-être les conditions d'utilisation de votre FAI.
Si vous voulez être complètement sûr, faites-le sur un réseau dédié entièrement isolé d'Internet. Un commutateur Ethernet bon marché et un Raspberry Pi ou deux peuvent vous procurer une configuration avec laquelle vous pouvez jouer pour moins de 100 $.
Comme l'indique Mark, il est plus ou moins légal de le faire, car c'est effectivement un accès autorisé , bien que peut-être par des voies non conventionnelles.
Considérez également les nombreux concours de piratage où le prix est la machine piratée (ou autre). Certains (sinon plusieurs) de ces concours sont pas sur un réseau privé, mais se déroulent sur Internet public. Recherchez "pwn to own" et "leetspellings" similaires de cette phrase, et je suis sûr que vous trouverez des sites pour de tels événements - et leurs termes et conditions devraient vous intéresser.
Ici au Danemark, Henrik Kramshøj est une autorité sur tout ce qui concerne la sécurité informatique (et en particulier le réseau), et il déclare souvent que l'on peut (tenter de!) Pirater son site Web tant qu'il en est informé à l'avance. Et cela se fait sur Internet public, bien que dans ce cas, il soit en fait propriétaire de son fournisseur d'accès Internet, donc c'est moins un facteur de risque.
Jetez un œil à la réponse de Rory à une question similaire , qui comprend un lien vers une liste de sites de hackers bienvenus.
Tout d'abord: personne ne peut répondre à cette question car nous ne savons pas de quel pays vous parlez. Même si nous savions que nous ne sommes pas des avocats et ne pouvons pas répondre à cela. Je suppose que dans la plupart des pays, la situation juridique à ce sujet ne serait pas claire de toute façon. Ce serait probablement dans une zone grise.
En réalité, peu importe si c'est légal car votre serveur sera piraté et votre hébergeur/FAI le mettra hors ligne de toute façon.
Rendez le système non public (VPN ou similaire) et vous n'aurez aucun problème.
En bref, quel que soit le pays dans lequel vous vous trouvez, le "piratage" est défini comme un accès non autorisé à un système. Vous n'êtes pas nécessairement en train de "pirater" autant que de "tester la vulnérabilité d'un système"
Vous devez être un peu plus latéral dans votre réflexion. Pour pratiquer le piratage sur un site Web, vous n'avez pas besoin d'un site Web public - en fait, vous ne voulez pas d'un site Web public car une fois qu'il est public, vous n'avez plus le contrôle sur qui peut essayer de le pirater. Je dirais également, sans vouloir être grossier, que sur la base de votre question, vous et vos amis sont peu susceptibles d'avoir les compétences nécessaires pour configurer un site Web public de manière à permettre le piratage, mais contrôler/gérer qui peut le pirater .
Le gros problème avec un site Web public pour le piratage est que peu d'organisations d'hébergement seront disposées à le faire. Pour eux, c'est un risque trop élevé car quiconque réussit à pirater le site pourrait très bien finir par obtenir un accès suffisant pour être une menace pour les autres clients/sites qu'ils hébergent. La plupart des sociétés d'hébergement auront les sites qu'ils hébergent sur leur propre infrastructure, qui est conçue pour rendre leur travail d'hébergement aussi simple que possible et il n'y a aucune garantie qu'un hack réussi ne sera pas au niveau de leur infrastructure, c'est-à-dire vous les exposez au piratage, pas seulement à votre site. Cela ne signifie pas que vous ne trouverez pas une société d'hébergement qui serait disposée à autoriser cela, car cela pourrait être considéré comme un type de test de stylo pour eux, mais c'est peu probable.
La meilleure solution consiste à configurer un site à l'aide d'une machine virtuelle. Même si vous n'êtes pas tous sur le même réseau local, chaque personne peut exécuter sa propre machine virtuelle. Vous pouvez utiliser l'une des nombreuses machines virtuelles de piratage qui ont été conçues spécifiquement pour ce genre de chose, ou vous pouvez créer le vôtre, créer un instantané et ensuite donner un instantané à chaque personne à exécuter. Cela permettra ensuite à chacun de pirater son propre site sans interférer les uns avec les autres.
Souvent, lorsque vous essayez de pirater des choses, vous pouvez faire des choses qui rendent le site/l'hôte instable ou même le rendent incapable de fonctionner. Lorsque vous apprenez à pirater, vous devez régulièrement restaurer tout à un état connu afin de pouvoir confirmer le succès d'un piratage et de bien comprendre comment il fonctionne. Une fois que vous pensez avoir trouvé une "recette" qui fonctionne, vous pouvez restaurer votre VM à un état connu et essayer de répéter le processus. Si vous réussissez, alors vous avez plus de confiance que vous savez exactement d'autre part, si vous échouez, alors vous savez que votre recette manque quelque chose - probablement un effet secondaire causé par une tentative précédente.
L'autre avantage de l'utilisation de l'approche VM est que vous évitez tout problème juridique possible. Vous faites tout cela sur un hôte privé et dans un environnement que vous contrôlez. Il est également relativement bon marché de le faire. Tout vous avez besoin d'un PC avec suffisamment de mémoire pour exécuter une ou plusieurs images de boîte virtuelle ou de vmware. J'utilise une boîte Linux exécutant virtuabox avec 16 Go de RAM. Je peux exécuter plusieurs machines virtuelles à la fois - simulant un réseau, etc.
Pour une idée de la façon dont vous pouvez le faire, voir Configurer votre réseau de laboratoire de test de stylo/piratage à l'aide d'un système unique .
Dans la plupart des hébergements de sites Web, la partie qui est "votre site Web" est très mince et il n'y a pas grand-chose à pirater, à l'exception de la désinfection des entrées php/asp. La partie la plus importante et piratable n'est pas réellement la vôtre - c'est l'infrastructure du fournisseur partagée entre votre site Web et bien d'autres.
Vous devez tenir compte de ceci: à moins que vous n'exécutiez le site Web sur votre propre ordinateur, vos amis ne piratent pas votre site Web. Ils piratent les ordinateurs du fournisseur d'hébergement.
C'est l'une des raisons pour lesquelles le FCT doit être coûteux: il faut dédier un ensemble à jour d'infrastructures commerciales pour créer un terrain de jeu qui représente avec précision l'environnement commercial - sans compromettre un environnement commercial réel.
Vous devez configurer un ordinateur dédié pour cette tâche, éventuellement sur le réseau local et inaccessible depuis Internet. Il a ses avantages: personne ne saura jamais qu'il a été piraté, sauf vous et vos amis.
Est-ce légal? Dans la plupart des juridictions, oui, mais lisez d'abord la loi locale. Quelques réponses ci-dessus mettent en évidence les juridictions où le piratage est illégal même lorsqu'il est autorisé, mais pour la plupart, les types d'exercices dont vous parlez sont autorisés, car le propriétaire de la machine le configure délibérément et expressément dans le but des tests de sécurité.
Est-ce une bonne idée? Seulement si vous faites très attention. N'oubliez pas que si vous pouvez le pirater, quelqu'un d'autre peut le faire. Gardez les machines vulnérables loin de l'Internet ouvert: cela signifie que vous devrez accéder aux machines via un réseau local ou un VPN, mais c'est encore mieux que de le faire détourner par quelqu'un ou quelque chose que vous ne vous attendiez pas.