Security 我在一个网站上发现了一个漏洞，我如何与该公司联系？

这是我第一次在网站上发现漏洞

一位客户只是想从拍卖网站上获取一些数据

在收集客户数据时，我注意到，如果某件东西售出，你需要每年购买一次订阅，以查看它的售价、词汇表、商品信息等

但我发现它的售价仍然被JavaScript注入，但没有显示出来，这是一个要求客户付费的功能

只是想从那些通常测试漏洞的人那里得到建议，告诉他们如何与公司接触漏洞

---

提前感谢。

首先，StackOverflow更专注于软件开发，提出这样的问题更合适

如果我正确理解了上下文，那么您没有任何明确允许您查找漏洞的安全审计合同。然而，你被派去清理他们的网站，所以查看他们的代码是你必须做的一部分。我想说，答案取决于你是否在你的任务范围内。你有没有注意到这个缺陷，甚至没有尝试，或者你挖掘了更多你应该有的

如果你在做要求你做的工作时发现了这个缺陷，那么我会说，在你的工作中给他们发电子邮件是非常安全的

如果该漏洞超出了您的范围，那么请小心，因为如果他们不喜欢，最坏的情况下，他们很可能会迫使您的公司解雇您或其他什么（他们这样做完全是白痴，但在处理安全问题时最好小心）。如果您在这种情况下，我建议您“匿名”报告该漏洞（不必过于复杂，只需使用不包含您的姓名或公司名称的电子邮件地址，您就可以了）。您还可以查看bug赏金平台，看看它们是否与任何程序关联。还有一些平台，如openbugbounty提供了

根据我的经验，我从来没有见过任何一家公司完全是个混蛋，并真诚地反对报告漏洞的人，公司通常都关心安全问题，并会感谢你告诉他们出了什么问题

不管是哪种方式，都要尽量描述，以便他们能够理解问题并加以解决

---

这里只需说明一点：不要公开披露此漏洞，否则您将面临一些大麻烦。

谢谢您的建议。我一定会匿名举报。我完全可以通过数据擦洗的意外穿越它。这只是他们的付费客户应该拥有的信息。但再次感谢。。下一次将在证券交易所发布安全问题。