处理渗透测试范围之外的漏洞

Question

假设情况:我正在为客户进行渗透测试。我能做什么和不能做什么，已经确定了参与的范围。在执行漏洞扫描时，我遇到了一个已知的漏洞，它超出了我的范围。我该如何以专业的方式处理这件事？

在法律上，我不能再进行任何评估，因为我会故意在范围之外工作。但是，技术上来说，我不是已经超出了我的范围吗？如果我报告这一点，而不执行任何其他渗透测试，我会遇到任何法律后果吗？

如果我在法律上是清楚的，如何正确地处理这件事？向我的客户报告这是更好的做法，因为我的客户发现了一个漏洞将会还是更好地包括这是一个报告？

如果我面临法律上的麻烦，有什么适当的方法来保护我自己呢？

Answer 1

如果不知道更多的细节，就不可能完全回答这个问题。

不过，总的来说，我想知道的第一件事是你和客户的关系有多好。从对你施加限制的声音来看，我猜不是很好，这限制了你的选择。“最好的”办法是，当你遇到什么事情时，尽快和客户交谈。但正如斯诺登和其他人所发现的那样，这并不总是一个明智的举动。

最终，这取决于你的合同。任何笔试合同都应该包含一些条款，用于处理由于在范围内的工作而发现范围外的漏洞的情况。

然而，为了处理合同和法律的复杂性，你必须咨询一位知识渊博的法律专家。如果你是一个贸易团体的成员，他们也可以提供帮助。这个论坛显然不能提供法律咨询，即使这里有人想这样做。

Answer 2

从道德上讲，你应该总是公开你的发现。在法律上，你不能超出你的范围。最后，你可能会发现你的报告没有你想要的那么详尽。

应该立即通知客户，您发现了漏洞，但在不超出您的范围的情况下无法对其进行充分的调查。也许您的范围可以调整，即使它只是这个特定漏洞的一个单独的例外。你应该向你的客户表明，更多的信息可以让你做出更好的评估--但要礼貌地这样做，因为他们可能不愿意考虑在关键系统中承担任何风险。有些客户需要时间来决定范围的更改，因此这些问题应该在可行的情况下尽快进行沟通。

如果你有雇主，他们可能有政策。这种情况并非闻所未闻，如果你在一家已成立的公司工作，你可能会得到一个现成的答案。

无论您的范围是否扩大，通常都会在数据允许的范围内解决报表中的漏洞。如果没有进一步的调查授权，你应该注意到。如果您可以根据您所知道的情况提出任何缓解/修复建议，您仍然可以这样做。如果没有，您应该明确声明，如果不进行进一步的调查，就不可能进行任何建议的缓解或修复。