关于企业网站和漏洞的伦理方法

Question

我喜欢网络安全，对此我也有自己的学术见解。为了好玩，我找到了一个网站(保险公司)，其中有一些关键的漏洞，比如xss或sql注入。现在，我显然会提醒他们这个问题。但如果公司能让我解决我认为是自由职业者之类的问题，那就太好了。但他们可能会与某家安保公司签订合同，以完成这项工作，并支付更高的货币价值。

对这个问题有什么建议吗？我的道德方法应该是什么？

Answer 1

道德方法是以保密的方式报告，而不是将报告与付款要求相结合，以解决这一问题，这可能被视为敲诈勒索。

解释你是如何发现问题的，并可能包括纠正你发现的问题的步骤，但要让他们来解决。

作为一家保险公司的安全经理，我可以告诉你，我很想知道这个问题，但是如果你开始试图利用这个问题，我会当着你的面关上门。相反，如果你与我一起公开地解决问题，帮助重新测试，并且通常是愉快的工作，我可能会在最后给你提供一份工作，或者至少，为你的技能和专业精神提供一封推荐信。

最后，这是他们的网站，他们的责任是修复，或不修复。