如何报告安全漏洞？

Question

我在一个网站中发现了一个SQL注入漏洞，我想去报告它。我确实有联系电子邮件，但我担心他们会起诉我，因为我找到了一种方式黑进他们的网站。(不，我没有运行任何SQL命令)。

所以..。除了匿名之外，我该如何报道这件事呢？

Answer 1

任何域都有一个滥用地址。试着联系那里的人。如果您不确定他们的反应，请通过虚拟专用网和/或代理使用“匿名”邮寄服务。

Answer 2

第一:不要把它公之于众，这只会让人有机会在别人有机会解决问题之前做坏事。

第二:如果你有正确的联系方式，那就直接联系他们，让他们知道你发现了什么(保持匿名可以帮助你，如果你担心潜在的反弹，但也可能有一种方式让他们联系你，以便跟进)。确保你联系的是适当的权威。也就是说，网站所有者并不一定是创建包含该漏洞的代码的人。你会想要确保你联系的人(S)，谁将实际的位置，以解决这个问题。

更多的信息可以在这里找到：https://make.wordpress.org/core/handbook/testing/reporting-security-vulnerabilities/这个链接是从WP，但这个信息是足够普遍的指向一个好的方向，不管你。