安全漏洞 - 報告？

這可能是一個社區維基，我不確定。

想像一個場景，您在瀏覽網頁時發現公司網站存在安全漏洞。例如，涉及更改 URL 參數的事情，會向您發布您原本不應該訪問的資訊。通過更改這些欄位，您是否犯了“黑客行為”？如果是這樣，您是否應該向公司報告安全漏洞，或者如果您承認“有罪”，是否有正當的法律後果擔心？

根據要求進行澄清：這是所有面向外部、完全可訪問的 .NET 頁面，它們接受在修改時可能會產生意外結果的變數。

第二次編輯：要明確這不是我工作的公司，而是網際網路上另一個與我沒有關係的網站。

在披露漏洞以避免麻煩時，以下是一些常識性準則：

1. 使用私人頻道。沒有公司喜歡在新聞網站上指出他們的安全漏洞。在完全披露上發布之前，您最好有很多經驗。
2. 永遠不要在披露漏洞時威脅或要求。除了粗魯之外，您可能會發現自己面臨合法的解僱小隊。威脅包括“如果您不解決此問題，我將在整個網路上發布”，勒索包括“我想要錢來幫助您解決此問題”。只是不要這樣做。
3. 使溝通正式化、可追溯。最佳情況是通信來自您控制的公司或類似公司。如果他們認為你是邪惡的 Haxxor，這也提供了一層保護。
4. 與合適的人溝通。您不想與一線支持人員交談，也不想與 CEO 交談。通過一些努力，您通常可以找到正確的部門。在最壞的情況下，尋找大公司的 CISO 或 CERT。沒有人喜歡公司的負責人衝進辦公室，要求知道為什麼這個危險的 SEE-KU-L 事情沒有解決。

有關更正式的指南集，您可以查看CCSS 論壇和 OIS安全漏洞報告和響應指南。您主要對我相信的“發現”和“通知”步驟感興趣。

沒有理智的公司會因為你私下報告漏洞而對你提出問題。讓地獄的合法獵犬失去很多錢。但是，如果他們將其解釋為勒索企圖，或者您竭盡全力羞辱他們，他們可能會決定聘請法律團隊與您打交道。

引用自：https://serverfault.com/questions/277843