我不具体了解 CFAA，但教育或探索性渗透测试的一般指导方针是：

1. 只攻击您控制的服务器，或者您明确允许攻击的服务器。例如，有些人留下存在已知漏洞的网站，以便其他人可以对它们“进行黑客攻击”。这些网站通常有一个免责声明，明确允许您攻击它们。如果没有该免责声明，您可能会因为在您无法控制的域上发起攻击而遇到大麻烦。
2. 仅发布已知（和已修补）漏洞的利用。如果您正在使用已经在学术期刊/会议上发表的漏洞利用，或者以其他方式广为人知，那么您可能可以将其发布在互联网上，尤其是在有补丁可用的情况下。但是，如果您发现了一个新的漏洞，或者不确定它是否是新的，那么最好在公开之前通过官方渠道通知供应商。

编辑：

OWASP WebGoat 项目专门用于解决问题 (1.)：

WebGoat 是一个由 OWASP 维护的故意不安全的 Web 应用程序，旨在教授 Web 应用程序安全课程。

你可以下载并安装 WebGoat 包到你自己的机器上，然后运行你想要的所有攻击！

如果您对问题 (2.)和发布有强烈的担忧，您可以随时联系您当地的 OWASP 分会并询问他们。