À ma connaissance, oui, c'est légal. Toutes les lois anti-piratage dont j'ai connaissance font référence à un accès non autorisé , et si vous avez la permission de le pirater, il n'est pas non autorisé, n'est-ce pas?

Notez qu'il y a il y a des choses auxquelles vous devrez faire attention. Certaines juridictions interdisent la possession d '"outils de piratage" (semblable à l'interdiction de la possession de crochets, mais moins bien définis), et certaines techniques, telles que l'usurpation de paquets ou (D) DoS, peuvent entraîner des dommages collatéraux qui iraient à l'encontre de la loi .

Vous voudrez également vérifier l'opinion de votre hébergeur sur ce que vous faites. Ils peuvent ne pas permettre cela en raison des effets possibles sur d'autres clients; si vous hébergez le site Web sur votre connexion domestique, vous enfreignez peut-être les conditions d'utilisation de votre FAI.

Si vous voulez être complètement sûr, faites-le sur un réseau dédié entièrement isolé d'Internet . Un commutateur Ethernet bon marché et un Raspberry Pi ou deux peuvent vous offrir une configuration avec laquelle vous pouvez jouer pour moins de 100 $.

Comme l'indique Mark, il faut plus ou moins être légal de faire cela, car il s'agit effectivement d'un accès autorisé , bien que peut-être par des voies non conventionnelles.

Pensez également aux nombreux concours de piratage où le prix est la machine piratée (ou autre). Certains (sinon plusieurs) de ces concours ne se déroulent pas sur un réseau privé, mais se déroulent sur l’Internet public. Recherchez "pwn to own" et "leetspellings" similaires de cette phrase, et je suis sûr que vous trouverez des sites pour de tels événements - et leurs termes et conditions devraient vous intéresser.

Ici au Danemark, Henrik Kramshøj est une autorité sur tout ce qui touche à la sécurité informatique (et en particulier au réseau), et il déclare fréquemment que l'on peut (tenter de!) Pirater son site Web à condition d'en être averti à l'avance. Et c'est sur l'Internet public, bien que dans ce cas, il possède son fournisseur d'accès Internet, donc c'est moins un facteur de risque.

Jetez un œil à la réponse de Rory à une question similaire, qui inclut un lien vers une liste de sites d'accueil des pirates.

Tout d'abord: personne ne peut répondre à cette question car nous ne savons pas de quel pays vous parlez. Même si nous savions que nous ne sommes pas des avocats et ne pouvons pas répondre à cela. Je suppose que dans la plupart des pays, la situation juridique à ce sujet ne serait pas claire de toute façon. Ce serait probablement dans une zone grise.

En réalité, peu importe si c'est légal, car votre serveur sera piraté et votre hébergeur / FAI le mettra quand même hors ligne.

Rendre le système non public (VPN ou similaire) et vous n'aurez aucun problème.

En un mot, quel que soit le pays dans lequel vous vous trouvez, le «piratage» est défini comme un accès non autorisé à un système. Vous n'êtes pas nécessairement en train de «pirater» tant que de «tester un système pour détecter la vulnérabilité»

Vous devez être un peu plus latéral dans votre réflexion. Pour pratiquer le piratage sur un site Web, vous n'avez pas besoin d'un site Web public - en fait, vous ne voulez pas d'un site Web public car une fois qu'il est public, vous n'avez plus le contrôle sur qui peut essayer de le pirater. Je suggérerais également, sans vouloir être impoli, qu'en fonction de votre question, il est peu probable que vous et vos amis ayez les compétences nécessaires pour configurer un site Web public de manière à permettre le piratage, mais contrôler / gérer qui peut le pirater .

Le gros problème avec un site Web public pour le piratage est que peu d'organisations d'hébergement seront disposées à le faire. Pour eux, le risque est trop élevé car quiconque parvient à pirater le site pourrait très bien finir par obtenir un accès suffisant pour constituer une menace pour les autres clients / sites qu'ils hébergent. La plupart des sociétés d'hébergement feront construire les sites qu'elles hébergent sur leur propre infrastructure, qui est conçue pour rendre leur travail d'hébergement aussi facile que possible et il n'y a aucune garantie qu'un piratage réussi ne sera pas au niveau de leur infrastructure, c'est-à-dire vous les exposez au piratage, pas seulement à votre site. Cela ne signifie pas que vous ne trouverez pas de société d'hébergement qui serait disposée à autoriser cela, car cela pourrait être considéré comme un type de test de stylo pour eux, mais c'est peu probable.

La meilleure solution est de configurer un site à l'aide d'une VM. Même si vous n'êtes pas tous sur le même réseau local, vous pouvez demander à chaque personne d'exécuter sa propre machine virtuelle. Vous pouvez utiliser l'une des nombreuses machines virtuelles de «piratage» qui ont été conçues spécifiquement pour ce genre de choses, ou vous pouvez attribuer la vôtre, créer un instantané, puis donner un instantané à chaque personne à exécuter. Cela permettra alors à chacun de pirater son propre site sans se gêner.

Souvent, lorsque vous essayez de pirater des choses, vous pouvez faire des choses qui rendent le site / hôte instable ou même le rendent incapable de fonctionner. Lorsque vous apprenez à pirater, vous devez régulièrement tout restaurer à un état connu afin que vous puissiez confirmer qu'un piratage réussi fonctionne et que vous compreniez parfaitement son fonctionnement. Une fois que vous pensez avoir trouvé une «recette» qui fonctionne, vous pouvez restaurer votre VM dans un état connu et tenter de répéter le processus. Si vous réussissez, vous avez plus confiance en vous, vous savez exactement comment le faire. D'un autre côté, si vous échouez, vous savez que votre recette manque quelque chose - probablement un effet secondaire causé par une tentative précédente.

L'autre avantage de l'utilisation de l'approche VM est que vous évitez tout problème juridique éventuel. Vous faites tout cela sur un hôte privé et dans un environnement que vous contrôlez. C'est aussi relativement bon marché à faire. Tout ce dont vous avez besoin est un PC avec une mémoire suffisante pour exécuter une ou plusieurs boîtes virtuelles ou images vmware. J'utilise une machine Linux exécutant virtuabox avec 16 Go de RAM. Je peux exécuter plusieurs VM à la fois - en simulant un netowrk, etc.

Pour une idée de la façon dont vous pouvez faire cela, consultez Configurer votre réseau Pen Testing / Hacking Lab en utilisant un seul système.

Les réponses mentionnent que le piratage est légal lorsqu'il est autorisé.

Ce n'est pas le cas partout, l'Allemagne a depuis 2007 une loi perverse qui rend illégal tout ce qui concerne le piratage, légal ou non.

À quel point cette loi a du sens et est appliquée et exécutoire est une autre histoire.

Dans la plupart des hébergements de sites Web, la partie qui est "votre site Web" est très mince, et il n'y a pas grand chose à pirater à part le nettoyage des entrées php / asp. La partie la plus importante et pouvant être piratée n'est pas la vôtre - c'est l'infrastructure du fournisseur partagée entre votre site Web et bien d'autres.

Vous devez tenir compte de ceci: à moins que vous n'exécutiez le site Web sur votre propre ordinateur, vos amis ne piratent pas votre site Web . Ils piratent les ordinateurs des hébergeurs .

C'est l'une des raisons pour lesquelles le CTF doit être coûteux: il faut consacrer un ensemble à jour d'infrastructures commerciales pour créer un terrain de jeu qui représente avec précision l'environnement commercial - sans compromettre un environnement commercial réel.

Vous devez installer un ordinateur dédié pour cette tâche, éventuellement sur le réseau local et inaccessible depuis Internet. Il a ses avantages: personne ne saura jamais qu'il a été piraté, sauf vous et vos amis.

Est-ce légal? Dans la plupart des juridictions, oui, mais lisez d'abord la législation locale . Quelques réponses ci-dessus mettent en évidence les juridictions où le piratage est illégal même lorsqu'il est autorisé, mais pour la plupart, les types d'exercices dont vous parlez sont autorisés, car le propriétaire de la machine la configure de cette manière délibérément et expressément à cette fin. des tests de sécurité.

Est-ce une bonne idée? Seulement si vous êtes très prudent . N'oubliez pas que si vous pouvez le pirater, quelqu'un d'autre peut le faire aussi. Gardez les machines vulnérables à l'écart de l'Internet ouvert: cela signifie que vous devrez accéder aux machines via un LAN ou un VPN, mais c'est toujours mieux que de le faire pirater par quelqu'un ou quelque chose auquel vous ne vous attendiez pas.