Bueno, me he lanzado al mundo del defacing, me interesa el tema, pero no quiero defacear, he encontrado un montón de webs con bugs de RFI, SQLInjection, XSS... pero no quiero hacer deface, solo saber que tengo la clave del admin y cerrar. Por eso pregunto:

1/ Es legal sacar la clave del admin (cosa que no voy a hacer)?
2/ Es legal listar la web mediante un cmd.gif?cmd=dir ?
2-BIS/ Y la de otro user?
3/ Es legal entrar mediante SQLI en la base de datos y salir?
4/ Es legal probar todo eso mientras no hagas nada?
5/ Es legal modificar el Index.html poniendo un comentario <-- HOLA! --> ?

6/ LA QUE MAS ME URGE:

Se puede escanear un site buscando rfi? Podria enterarse el admin?

Muchas gracias de antemano!

EDITADO: Se daban a entender cosas que no eran >.<