Что нужно сделать исследователю перед тем как “взламывать”:
- заключить договор с заказчиком таких услуг
- подписать NDA, где чётко описано, что является конфиденциальной информацией, а что нет, и какая ответственность предусмотрена за ее разглашение
- желательно оформить отказ от претензий (можно сделать пунктом в договоре) - о том, что заказчик не будет предъявлять претензий к разработчику, если тот найдёт что-то такое, что не должен был найти
- оформить задание на конкретный пентест/реверс
- запросить у заказчика предоставление доступов и оформить это документально
- понять специфику получаемой информации - что это - коммерческая/банковская/государственная тайна
- определить цель взлома - для себя или для третьих лиц
- есть ли распространение информации, получаемой посредством взлома
- быть готовым, что ты всегда случайно можешь получить доступ к той информации, к которой не хотел иметь доступ
- если говорим про реверс, то если копия программы попала к тебе легально, то ты можешь изучать её для себя