今日热议主题：当用户向你报告了安全问题你会怎样做

我就只说一点，不一定报安全问题的都是入侵过后的行为。就像上楼无意摔了一跟头发现你家门锁有问题，根本没锁上一样。

@flyfishcn 是的。也有喝多了开错门的。但如果有人告诉你我就是来测试你家门锁安全不安全的，捅了一下真的捅开了，果然不安全，快谢谢我。愿意为互联网安全贡献力量是好事，但要注意手段，你自己问心无愧，但事实对你不利。

@Explorare 事实上，乌云 补天这种平台还是有存在的意义的，但是前提是你不能拿去做破坏，大多数人只是随手测试，而且没有公开细节，并不是去刻意入侵的。这种问题要扯到入侵还付之诉讼的，要么是厂商碍于面子，要么就是神经病。以后你有漏洞了，我挂几个跳板拖你库再给你清空数据，到底是谁的损失，大多数厂家应该能想明白的。

@flyfishcn 我没有否定乌云的意义，也没有否定白帽子的行为，但前提是你有经过对方授权，这个是界定测试行为是否违法的重要依据。你悄悄测了就测了，还大大方方告诉对方「我入侵你系统了，但啥也没干，我叫 XXX ，家住 XXX ，谢谢我」，如果对方愿你和你玩白帽子游戏，给你点奖励， happy end 。如果对方玩的是法律这个游戏， GG 。保护好自己，白帽子游戏不是所有人都玩的，法律这个规则凌驾一切。
>以后你有漏洞了，我挂几个跳板拖你库再给你清空数据，到底是谁的损失，大多数厂家应该能想明白的。
你这算是在变相要胁么？“你不给钱要你 X 命”？或者说你有信心你不被抓住咯？数额巨大五年以上，不谢。

@Explorare 首先，我说了是无恶意，你却自行定义为入侵。我已经感觉你没救了。如果定性就是入侵，那么就算授权入侵也是违法的，因为授权的事情本身就是违法的。
然后呢，解释下：这个‘’我‘’，只是个代指，并不是现实中的这个特指，可以代指任何一个人，也许是个日本或者美国或者印尼人，我想知道结果呢？你能跑去人家国家抓人关 5 年？

@flyfishcn

如果你有耐心，希望能认真看一下我贴的相关法律条款

=========================
>非法侵入计算机信息系统罪客观要件

本罪在客观方面表现为行为人实施了违反国家规定侵入国家重要计算机信息系统的行为。在这里，所谓“违反国家规定”，是指违反《 中华人民共和国计算机安全保护条例》的规定，该条例第 4 条规定：“计算机信息系统的安全保护工作，重点保护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统安全。本罪的对象是国家重要的计算机信息系统。所谓国家重要的计算机信息系统”，是指 国家事务、国防建设、尖端科学技术领域的计算机信息系统。所谓“侵入”，***是指未取得国家有关主管部门依法授权或批准***，通过计算机终端侵入国家重要计算机信息系统到者进行数据截收的行为。在实践中，行为人往往利用自己所掌握的计算机知识、技术，通过非法手段获取口令或者许可证明后冒充合法使用者进入国家重要计算机信息系统，有的甚至将自己的计算机与国家重要的计算机信息系统联网。

>非法侵入计算机信息系统罪主观要件

***本罪在主观方面是故意***。即行为人明知自己的行为违反国家规定会产生非法侵入国家重要计算机信息系统的危害结果，而希望这种结果发生。过失侵入国家重要的计算机信息系统的，不构成本罪。***行为人实施本罪的动机和目的是多种多样的，有的是出于好奇，有的是为了泄愤报复，有的是为了炫耀自己的才能，等等。这些对构成犯罪均无影响。***

>非法获取计算机信息系统数据、非法控制计算机信息系统罪

违反国家规定，侵入***前款规定以外的计算机信息系统***或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
=========================

然后我回答你上面的质疑：
>如果定性就是入侵，那么就算授权入侵也是违法的，因为授权的事情本身就是违法的。
违法的前提是“未取得被侵害主体的允许或批准”，批准了就不违法。

>也许是个日本或者美国或者印尼人，我想知道结果呢？你能跑去人家国家抓人关 5 年？
你的这个辩解并不能合法化这个行为。难道你被起诉之后也要这样辩解一番么？心太大了。网络犯罪天天有，能抓住几个我不知道，但我知道你要是违法入侵了还报上大名，对方想追查易如反掌。不报名字也许就不会查或者查不到了。

@flyfishcn 感觉你一直在反驳这样一个观点“未经允许的渗透测试就是违法，遇到这种人直接起诉”，但你如果认真看完上面的讨论，我其实是想说”在进行未经允许的渗透测试后不建议泄露能关联到你本人的真实信息，因为这个行为是违法的，对方想起诉你是必败的，不论你是否主观恶意“。

@Explorare 第一、你所列举的都是中国法律，对非中国公民没有效力。
第二、就算是有效力的中国公民：本罪在客观方面表现为行为人实施了违反国家规定侵入国家重要计算机信息系统的行为。然而并不是什么网站都属于“国家重要计算机信息系统”的。
第三、***本罪在主观方面是故意***这你都说了是主观故意了，不需要过多说什么了吧。接着“过失侵入国家重要的计算机信息系统的，不构成本罪”。
第四、侵入***前款规定以外的计算机信息系统***或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制。 一般人报告安全事件，既不会存储、处理或者传输，也不会非法控制。这是最重要的性质判定。
第五、跨国的网络攻击，除非是 ZF\机关这样的单位，大家都知道调查成本的，所以几乎不会有人愿意去追究。然而我并没有说入侵是合法的，我是说如果一个厂家对漏洞报告采取这种态度的话，没人愿意再提交漏洞，那么其他人入侵的概率会高很多。

第六、如果你认为匿名就能避免泄露你的真实信息的话，那么你太天真了，作为一个网络管理，我可以负责任的告诉你，虽然我并不能知道你 QQ 聊天的内容，但是只要你有任何不加密的信息从出口过了，就一定能从这些信息一步步还原出真实世界中的你是谁。而你无法保证你的所有信息 100%全加密。就算你用什么代理 VPN ，一样能顺着 IP 轨迹，查到你的接入信息。唯一不好查的情况就是跨国，需要多国家安全机构配合。但是你知道为何 Google 要退出中国么？

>你所列举的都是中国法律，对非中国公民没有效力
是啊，你测试别的国家的网站就不用担心，但大陆的就得遵守。

>然而并不是什么网站都属于“国家重要计算机信息系统”的
我贴第一条的就是为了定义第三条的“前款规定以外的计算机信息系统”，因为本身“非法获取计算机信息系统数据、非法控制计算机信息系统罪 ”就是“非法侵入计算机信息系统罪”的扩充，不贴第一条你又要说我不懂之类的了。

> 一般人报告安全事件，既不会存储、处理或者传输
是不获取“存储、处理或者传输” 的数据。世纪佳缘一案中定罪条件中就包括了嫌疑人获取了 932 条数据，当然这是诉方的说辞，被告则说只是读取了，然后扫描工具自己缓存了。最后一样是判了啊。

>大家都知道调查成本的
那么你怎么知道你入侵目标的实际价值的？除非你读了数据，或者已经知道目标的实际价值然后还主观入侵。这里的主观不是说故意来搞破坏算主观，而是你知道你的行为是入侵，这就是主观了。喝多了走错楼开错门不是主观，但明知道是别人家门你还捅，捅开了你说我没恶意，不是主观的。

>如果你认为匿名就能避免泄露你的真实信息的话，那么你太天真了
有能力搞渗透测试的应该也有匿名技术的基础吧，不用你教。你上面说了成本，下面又说跨国，所以说你一个网管就能跨国咯？不明白你的逻辑。

而且我一再表示我不是鼓吹网关起诉未经授权的渗透测试发起者，而是建议这些“白帽子“多考虑一下暴露身份的风险，万一对方起诉了会处于被动局面。

所以你下面又要回复说，不善待白帽子就要被万人轮？或者匿名照样被抓？

@Explorare
难道就中国会入侵、渗透？其他国家就没有会技术的？其他国家的人犯罪，也要按中国法律判？

别的我不评价。多了走错楼开错门不是主观，但明知道是别人家门你还捅。
所以呢？喝醉闹事都是故意的？在不清醒时无意走错门都能算是明知的话，如果这么说的话，酒精似乎应该列入管制啊。另外：按住回车 70 秒，黑客就能在 linux 系统绕过认证，进而获取 root 权限。你就说这种偶然发现算不算入侵吧？你说不是？可是人家是绕过认证，拿到 root 了。

我说跨国是因为挂跳板，别告诉我你都有能力做渗透检测，却不会挂点肉鸡、 SS 、 vpn 的。多挂几层一般的厂商谁有这个精力和财力去追查？网安部门为了你一个普通企业找 N 个国家去交涉？想多了。

我说这些的目的，只是觉得有些好坏不分，颠倒黑白的厂商，以后再遇到类似的问题，损失会比虚心认错的情况惨得多。顺带一提为啥开源的产品很少有大的安全问题，因为有诸多的开发者、社区在及时维护。就算官方不能及时更新版本，也有临时 patch 可用。而闭源的东西，就只能靠厂商自己去维护，如果有漏洞，但是并无上报，然后掌握的人也不公开利用方法，厂商是很难查到的。

@flyfishcn
>难道就中国会入侵、渗透？其他国家就没有会技术的？其他国家的人犯罪，也要按中国法律判？
我可没这样说，你不要听风就是雨，将来报道上出了问题，你是要负责的。其他国家来渗透自然有别的处理对策，写个感谢信跪舔一下。

>多挂几层一般的厂商谁有这个精力和财力去追查？
是啊，这就是匿名手段啊。那么多人上过，就你正大光明报上大名，不搞你搞谁？是不？都不用国家追查了，直接起诉就是。既然不会被追查，直接干就是了，为啥要走代理？

>多了走错楼开错门不是主观，但明知道是别人家门你还捅。 所以呢？喝醉闹事都是故意的？
来，我帮你赏析一下原文：

”这里的主观不是说故意来搞破坏算主观，而是你知道你的行为是入侵，这就是主观了。喝多了走错楼开错门不是主观，但明知道是别人家门你还捅，捅开了你说我没恶意，不是主观的。 “

正如原文 ”喝多了走错楼开错门不是主观“所述，作者在这里表达的是”喝多了走错楼不是主观故意来入侵“，非主观不违法，这里的违法是指”非法侵入计算机信息系统罪“中的”本罪在主观方面是故意“。你是不是又要说” po 主脑子有洞，喝酒开错门就算非法侵入计算机信息系统罪了 ﾟ∀ﾟ)σ“。但如果你思维清晰，知道你的行为就是入侵还继续实施，那么这就构成主观故意了。

>按住回车 70 秒，黑客就能在 linux 系统绕过认证，进而获取 root 权限。你就说这种偶然发现算不算入侵吧？你说不是？可是人家是绕过认证，拿到 root 了。

是，如果只有这个行为可以被解释为无意造成了入侵行为，不算违法。前提是你有合理的理由去按 70s 。

>"只是觉得有些好坏不分，颠倒黑白的厂商"
所以你的黑白是你心中的黑白咯？还是法律的黑白？所以你在未经授权自主入侵之后，光明磊落的留下了自己的名字？

开源软件本身有开源协定，允许复制、修改、再发布的行为，私有系统没有。 Google 公开授权了对他的白帽渗透行为，而且承诺了提供奖金，这就算是有授权的了。难道你还要说 ” Google 是美国公司管不到中国人“？美国就没人了？你家突然每天来观光团，说我们是来帮你看家的，能行？”被开源“？

所以你想表达的是，你不认为”在进行未经授权的渗透测试行为后暴露自己的真实信息会对将入侵者置于法律不利境地“咯？”虽然入侵者知道自己在未经授权入侵受害者，但入侵者认为自己主观无恶意，所以该行为不违法“？再或者”就算入侵者知道自己行为是违法的，但如果被起诉，受害人将会受到变本加厉的报复行为，所以受害人必须示好妥协“？

说了半天感觉你还是先把我定义为了”一言不合起诉未经授权进行渗透测试的人”，扣个大帽子，然后不停告诉我你抓不住入侵者的，就算他报上大名你也不能起诉，起诉了就被万人轮？是不是这意思？但现在“世纪佳缘起诉入侵者胜诉”已经是既定事实了，说明只要受害者愿意追究，入侵者会因为自己的行为事实、对话记录而处于不利境地，比如正面或侧面承认了自己入侵的主观性，承认了自己增删改查了数据库，获取了登陆口令等。我只是说有这样的风险，并不是说做了就绝对会被制裁。

所以，在进行未经授权的渗透测试时，要注意保护自己，不要给对方留下把柄。

我解释清楚了么？

问：作者到底在瞎 BB 什么？他会不会起诉入侵者？入侵者在完成入侵后报上大名会不会被追究？被追究会不会被定性为违法？

@Explorare 既然我的意思一再被你曲解，那我最后解释一波，就不再回复了。
我是针对那些你提出的，也是我认为的：“明明自己有漏洞却不肯承认，有人上报安全事件还要反咬一口把报告者推上被告的厂商”说的。你不必每句回复都带入显示中的你和我身上。
另外我每个举例都是为了佐证我所提出的观点，而不是具体指咱们讨论的这件事。请不要把我提出的类似：恶性故意杀人这样性质严重的案件要判死刑。等价为 犯案严重就判死刑或者故意犯案就判死刑。 OK ？

说了半天感觉你还是先把我定义为了”一言不合起诉未经授权进行渗透测试的人”，扣个大帽子。
这锅我不背，我说的是上文提到的厂商。

@Explorare 这不是你家的锁，你们在危害用户的信息，你家门是私人的，网站是公开的，别混淆概念。

我觉得有人提醒挺好的。

@woostundy 可网站的后台不是啊。