@FrankFang128 War, war never change.

@jfcherng 果然帅的人已经在补了。多谢帮助。

@woostundy 可网站的后台不是啊。

@flyfishcn
>难道就中国会入侵、渗透？其他国家就没有会技术的？其他国家的人犯罪，也要按中国法律判？
我可没这样说，你不要听风就是雨，将来报道上出了问题，你是要负责的。其他国家来渗透自然有别的处理对策，写个感谢信跪舔一下。

>多挂几层一般的厂商谁有这个精力和财力去追查？
是啊，这就是匿名手段啊。那么多人上过，就你正大光明报上大名，不搞你搞谁？是不？都不用国家追查了，直接起诉就是。既然不会被追查，直接干就是了，为啥要走代理？

>多了走错楼开错门不是主观，但明知道是别人家门你还捅。 所以呢？喝醉闹事都是故意的？
来，我帮你赏析一下原文：

”这里的主观不是说故意来搞破坏算主观，而是你知道你的行为是入侵，这就是主观了。喝多了走错楼开错门不是主观，但明知道是别人家门你还捅，捅开了你说我没恶意，不是主观的。 “

正如原文 ”喝多了走错楼开错门不是主观“所述，作者在这里表达的是”喝多了走错楼不是主观故意来入侵“，非主观不违法，这里的违法是指”非法侵入计算机信息系统罪“中的”本罪在主观方面是故意“。你是不是又要说” po 主脑子有洞，喝酒开错门就算非法侵入计算机信息系统罪了 ﾟ∀ﾟ)σ“。但如果你思维清晰，知道你的行为就是入侵还继续实施，那么这就构成主观故意了。

>按住回车 70 秒，黑客就能在 linux 系统绕过认证，进而获取 root 权限。你就说这种偶然发现算不算入侵吧？你说不是？可是人家是绕过认证，拿到 root 了。

是，如果只有这个行为可以被解释为无意造成了入侵行为，不算违法。前提是你有合理的理由去按 70s 。

>"只是觉得有些好坏不分，颠倒黑白的厂商"
所以你的黑白是你心中的黑白咯？还是法律的黑白？所以你在未经授权自主入侵之后，光明磊落的留下了自己的名字？

开源软件本身有开源协定，允许复制、修改、再发布的行为，私有系统没有。 Google 公开授权了对他的白帽渗透行为，而且承诺了提供奖金，这就算是有授权的了。难道你还要说 ” Google 是美国公司管不到中国人“？美国就没人了？你家突然每天来观光团，说我们是来帮你看家的，能行？”被开源“？

所以你想表达的是，你不认为”在进行未经授权的渗透测试行为后暴露自己的真实信息会对将入侵者置于法律不利境地“咯？”虽然入侵者知道自己在未经授权入侵受害者，但入侵者认为自己主观无恶意，所以该行为不违法“？再或者”就算入侵者知道自己行为是违法的，但如果被起诉，受害人将会受到变本加厉的报复行为，所以受害人必须示好妥协“？

说了半天感觉你还是先把我定义为了”一言不合起诉未经授权进行渗透测试的人”，扣个大帽子，然后不停告诉我你抓不住入侵者的，就算他报上大名你也不能起诉，起诉了就被万人轮？是不是这意思？但现在“世纪佳缘起诉入侵者胜诉”已经是既定事实了，说明只要受害者愿意追究，入侵者会因为自己的行为事实、对话记录而处于不利境地，比如正面或侧面承认了自己入侵的主观性，承认了自己增删改查了数据库，获取了登陆口令等。我只是说有这样的风险，并不是说做了就绝对会被制裁。

所以，在进行未经授权的渗透测试时，要注意保护自己，不要给对方留下把柄。

我解释清楚了么？

问：作者到底在瞎 BB 什么？他会不会起诉入侵者？入侵者在完成入侵后报上大名会不会被追究？被追究会不会被定性为违法？

>你所列举的都是中国法律，对非中国公民没有效力
是啊，你测试别的国家的网站就不用担心，但大陆的就得遵守。

>然而并不是什么网站都属于“国家重要计算机信息系统”的
我贴第一条的就是为了定义第三条的“前款规定以外的计算机信息系统”，因为本身“非法获取计算机信息系统数据、非法控制计算机信息系统罪 ”就是“非法侵入计算机信息系统罪”的扩充，不贴第一条你又要说我不懂之类的了。

> 一般人报告安全事件，既不会存储、处理或者传输
是不获取“存储、处理或者传输” 的数据。世纪佳缘一案中定罪条件中就包括了嫌疑人获取了 932 条数据，当然这是诉方的说辞，被告则说只是读取了，然后扫描工具自己缓存了。最后一样是判了啊。

>大家都知道调查成本的
那么你怎么知道你入侵目标的实际价值的？除非你读了数据，或者已经知道目标的实际价值然后还主观入侵。这里的主观不是说故意来搞破坏算主观，而是你知道你的行为是入侵，这就是主观了。喝多了走错楼开错门不是主观，但明知道是别人家门你还捅，捅开了你说我没恶意，不是主观的。

>如果你认为匿名就能避免泄露你的真实信息的话，那么你太天真了
有能力搞渗透测试的应该也有匿名技术的基础吧，不用你教。你上面说了成本，下面又说跨国，所以说你一个网管就能跨国咯？不明白你的逻辑。

而且我一再表示我不是鼓吹网关起诉未经授权的渗透测试发起者，而是建议这些“白帽子“多考虑一下暴露身份的风险，万一对方起诉了会处于被动局面。

所以你下面又要回复说，不善待白帽子就要被万人轮？或者匿名照样被抓？

@flyfishcn 感觉你一直在反驳这样一个观点“未经允许的渗透测试就是违法，遇到这种人直接起诉”，但你如果认真看完上面的讨论，我其实是想说”在进行未经允许的渗透测试后不建议泄露能关联到你本人的真实信息，因为这个行为是违法的，对方想起诉你是必败的，不论你是否主观恶意“。

@flyfishcn

如果你有耐心，希望能认真看一下我贴的相关法律条款

=========================
>非法侵入计算机信息系统罪客观要件

本罪在客观方面表现为行为人实施了违反国家规定侵入国家重要计算机信息系统的行为。在这里，所谓“违反国家规定”，是指违反《 中华人民共和国计算机安全保护条例》的规定，该条例第 4 条规定：“计算机信息系统的安全保护工作，重点保护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统安全。本罪的对象是国家重要的计算机信息系统。所谓国家重要的计算机信息系统”，是指 国家事务、国防建设、尖端科学技术领域的计算机信息系统。所谓“侵入”，***是指未取得国家有关主管部门依法授权或批准***，通过计算机终端侵入国家重要计算机信息系统到者进行数据截收的行为。在实践中，行为人往往利用自己所掌握的计算机知识、技术，通过非法手段获取口令或者许可证明后冒充合法使用者进入国家重要计算机信息系统，有的甚至将自己的计算机与国家重要的计算机信息系统联网。

>非法侵入计算机信息系统罪主观要件

***本罪在主观方面是故意***。即行为人明知自己的行为违反国家规定会产生非法侵入国家重要计算机信息系统的危害结果，而希望这种结果发生。过失侵入国家重要的计算机信息系统的，不构成本罪。***行为人实施本罪的动机和目的是多种多样的，有的是出于好奇，有的是为了泄愤报复，有的是为了炫耀自己的才能，等等。这些对构成犯罪均无影响。***

>非法获取计算机信息系统数据、非法控制计算机信息系统罪

违反国家规定，侵入***前款规定以外的计算机信息系统***或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
=========================

然后我回答你上面的质疑：
>如果定性就是入侵，那么就算授权入侵也是违法的，因为授权的事情本身就是违法的。
违法的前提是“未取得被侵害主体的允许或批准”，批准了就不违法。

>也许是个日本或者美国或者印尼人，我想知道结果呢？你能跑去人家国家抓人关 5 年？
你的这个辩解并不能合法化这个行为。难道你被起诉之后也要这样辩解一番么？心太大了。网络犯罪天天有，能抓住几个我不知道，但我知道你要是违法入侵了还报上大名，对方想追查易如反掌。不报名字也许就不会查或者查不到了。

@flyfishcn 我没有否定乌云的意义，也没有否定白帽子的行为，但前提是你有经过对方授权，这个是界定测试行为是否违法的重要依据。你悄悄测了就测了，还大大方方告诉对方「我入侵你系统了，但啥也没干，我叫 XXX ，家住 XXX ，谢谢我」，如果对方愿你和你玩白帽子游戏，给你点奖励， happy end 。如果对方玩的是法律这个游戏， GG 。保护好自己，白帽子游戏不是所有人都玩的，法律这个规则凌驾一切。
>以后你有漏洞了，我挂几个跳板拖你库再给你清空数据，到底是谁的损失，大多数厂家应该能想明白的。
你这算是在变相要胁么？“你不给钱要你 X 命”？或者说你有信心你不被抓住咯？数额巨大五年以上，不谢。

@flyfishcn 是的。也有喝多了开错门的。但如果有人告诉你我就是来测试你家门锁安全不安全的，捅了一下真的捅开了，果然不安全，快谢谢我。愿意为互联网安全贡献力量是好事，但要注意手段，你自己问心无愧，但事实对你不利。

@Hanxv
>因為穿著暴露增加了機率，所以被強姦有穿著暴露這個原因
但这个原因不能将强奸行为合法化啊。我网站有漏洞，但不代表你就可以合法的捅。你捅了还告诉了我，你依然是违法，我不追究是我的权利，不是你的。网站有漏洞被入侵，安全免不了背锅，但该立案的还得立案，该起诉的还得起诉，难道还说因为安全情商低所以被入侵了，所以这锅安全背？

法律能解决的事就别扯道德。

辩论的话我不敢说这是辩论，我也没这个水平。你就当是个被加班的制杖在消遣时间就好。觉得有讨论的价值就说，觉得题主制杖就算了，我也不是非要死咬着一个人让他同意我的观点。

@caomu 我感谢是我的个人行为，不能代表所有“被检测”的人都会这么做。我也不是嘲讽或者否定白帽子，而是说未经授权的渗透测试，不管你给这种行为起什么名字，找什么理由，没授权就是违法，被抓就别抱怨。而且世纪佳缘就这么做了，圈内再声讨能怎样？可以干涉司法么？或者说继续去犯法？反正抓不住。

我不证明起诉者的道德正确，但在法律上这个行为是合理合法的，不会因为你说你是白帽子而就无效了。所以下次发安全 issue 的时候多考虑一下，这个风险值不值得承担？你检测的对象是不是世纪佳缘？

@kulove 希望你心中的正义有朝一日能实现，或者说从业人员道德水平都拔高到那个层次。（并非讽刺）
可这个社会既不温柔也不正确。世纪佳缘这种公司肯定还会有，就看是谁撞上去了。

@sammo 保护系统和数据是安全的职责，发生入侵事件是安全背锅、开发背锅还要看这些人的智商了，智商高点直接甩锅给入侵者，正好遇到主动送上门的，直接起诉索赔，皆大欢喜。没抓住而让安全背全责赔偿损失？ EXM ？就和运维一样，不出事老被当成是吃干饭的，出了问题第一时间背锅。

@kulove
>哪怕法律是这么规定，我认为并不能属于违法
你认为这是合法的，但法律已经如此了，对此行为有明确的界定，未经允许就是违法。我也并不是说你们搞这个就是罪犯，就该被抓之类的。只是告诉你你的这个行为如果告诉对方，然后还留下了可作为证据的记录，是对你极为不利的，这是有效的证据，或者说你就相信所有人都那么好心？不会再出第二个世纪佳缘？还没被坑够？

这样被抓你也只能尽量证明你没有对系统造成修改、破坏，没有造成损失，避免达到定罪标准，最终和解了就算了，但说“我这是为了互联网的安全”，也就能在社交网络上造势来施压了。

@Hanxv 所以你认为世界是绝对公正的，遭到不幸、损失的肯定是他自己的过失，你只要保证没有这个过失就不会遭遇同样的事情，是这样么？这是世界公正谬论。
精神病患者的家属有责任看管好精神病，如果没有家属的视情况收容在精神病院。照你这个说法，大家都穿黑袍就都清真了 ( ´_ゝ`) 可还有足控呢，黑袍至少得拖地上。
你这个反驳不成立，强行合理，把过失推到受害人身上，来完成你心中所想的公正。既然不是精神病的错，那就是受害者的错，因却斯汀。

@sammo 那么这类白帽子的行为算什么呢？蹭了一下没插进去？插进去了没射在里面？
虽然说没被抓住就不算犯法。但你被抓住了，或者主动给送上去了，主动权已经不在你手上了，你已经自证其罪了，虽然还不一定是犯罪。我想表明的就是这一点。至于我网站被入侵，我自己的部落格挂在 Github Pages 上，纯静态，前置 CloudFlare CDN ，一般也不会 D 掉。公司网站有专门的安全，不归我管，和我无关，有安全 issue 直接转给安全团队负责。我自己的网站就几篇破文章，你改了我还有备份。除非我网站数据价值足够高了，我直接找搞安全的朋友给些钱授权测试啊，双方都舒服。

@kulove 不完善是真的，但目前来说还是有法可依的。'15 年的「两高关于执行《中华人民共和国刑法》确定罪名的补充规定（六）」中就增加了如下罪名
*拒不履行信息网络安全管理义务罪
*非法利用信息网络罪
*帮助信息网络犯罪活动罪

加上网络安全法、中华人民共和国计算机信息系统安全保护条例、中华人民共和国刑法中的非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪，这些法条足以给未经授权进行安全渗透测试的行为定义为违法行为了，至于是否犯罪还要看造成的损失。如果入侵者主动告知漏洞，并且经查明没有造成损失，未对计算机系统内容进行修改、获取，那么只算违法，受害者不追究的话就没事了，这里要注意是受害者有不追究的权利，而不是没造成损失就应该不追究。为什么有些人会产生这是合法的错觉？

@Hanxv B 和 D 的行为都是违法的，难道你是圣母如此真诚？ A 愿意原谅 B 的非法入侵，那是 A 主动放弃了索赔权，不代表这种行为就是合法的、理应被原谅的。这个鸡汤不好喝。
>D 這個人怎麼評價？點贊
啧啧。

大家都不傻，但自认为自己行为就是合法的哪些“白帽子”该进行一下普法教育，至少下次入侵的时候别留下把柄，被起诉了又扯什么白帽子是合法的云云，法庭内外充满了快活的气氛？