Niejednokrotnie podczas praktycznej nauki metod omijania zabezpieczeń - narażamy się na wynikające z tego konsekwencje prawne.
Najbezpieczniejszą formą takich doświadczeń jest przygotowanie własnego środowiska developerskiego, na którym będziemy mogli do woli uskuteczniać nasze techniki. Niestety wiele osób, podczas przeglądania rozmaitych witryn poprzez swoje zainteresowania (zboczenie zawodowe), wykonuje niezamówiony test penetracyjny. Takie działanie, w zależności od zapędów audytora może skutkować grzywną, a czasem nawet pozbawieniem wolności.
"Art. 267.
§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
§ 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego."
Zgodnie z powyższym zapisem, w kontekście testu zabezpieczeń aplikacji internetowej - jeżeli stwierdzimy podatność, bez uzyskania informacji nie dopuszczonej do użytku publicznego (np. nazwy tabeli, a tym bardziej loginów i haseł), to nie musimy się obawiać żadnych konsekwencji.
"Art. 268.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego."
Powyższy zapis, z kolei zabrania nam niszczenia zasobów, które ktoś upublicznił - dlatego przykładowy "DROP ..." jest tutaj dosłownie zabroniony, pomimo iż nie musimy znać nazwy tabel w przeciwieństwie do artykułu powyżej.Implikując jednak te dwa artykuły, przykładowe włamanie na konto FB i skasowanie, bądź zmiana danych użytkownika, odpowiadamy wówczas z obu artykułów.Po pierwsze, uzyskaliśmy dostęp do informacji nieudostępnionych publicznie.Po drugie, zmodyfikowaliśmy dane, które nie zostały opublikowane przez nas bez wyraźnej zgody ich autora.
"Art. 265.
§ 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje niejawne o klauzuli 'tajne' lub 'ściśle tajne', podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Jeżeli informację określoną w § 1 ujawniono osobie działającej w imieniu lub na rzecz podmiotu zagranicznego, sprawca podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 3. Kto nieumyślnie ujawnia informację określoną w § 1, z którą zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym upoważnieniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku."
Naruszenie powyższego artykułu, często jest niemożliwe bez naruszenia Art. 268. KK, przykładowo uzyskując dostęp do systemu zgłoszeń organów ścigania (Policja, ABW).