嚴格來說 不合法 。

本人是一個網路安全愛好者，也算一個半吊子白帽子。不會挖掘很深層的漏洞，對程式碼理解並不透徹，但卻在一些漏洞平臺有著名號。

你真的瞭解《網路安全法》嗎？https://www.toutiao.com/i6519085234741314055/

《網路安全法》第二十七條規定：任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路資料等危害網路安全的活動。 現在的白帽子更加註重法律這一關，漏洞都會在官方廠商SRC上提交，避免引起不必要的誤會。

不合法。

滲透測試流程的第一步就是獲取測試網站並授權，隨後一系列的工作都是在此基礎上完成的。

你也可以直接未授權去測，測不出問題，沒有對網站造成影響就沒什麼事，如果你測出問題，及時的給企業彙報，企業可能也不會給你計較什麼。如果測出問題不彙報，那就屬於嚴重不合法。