Я не уверен, что это может быть вики сообщества.
Представьте себе сценарий, в котором вы обнаруживаете брешь в безопасности на веб-сайте компании во время просмотра веб-страниц. Что-то, связанное с изменением параметров URL-адреса, которое предоставляет вам информацию, к которой вы в противном случае не должны были бы иметь доступа, например. Вы виновны в "взломе", изменяя эти поля? Если да, следует ли вам сообщать о недостатке безопасности в компанию, или есть законные опасения юридических последствий, если вы признаете свою «вину»?
Уточнение по запросу: это все внешние, полностью доступные страницы .NET, которые принимают переменные, которые могут иметь непредвиденные результаты при изменении.
Второе редактирование: чтобы было ясно, что это не компания, в которой я работаю, а еще один веб-сайт в Интернете, с которым я не имею отношения.
Внимание: ниже приведены некоторые стереотипы, которые могут быть или неточными.
Есть ли у указанной компании большая команда юристов или она существует, скажем, более 15 лет? Если да, то не беспокойтесь. Ваше благонамеренное раскрытие воля скорее всего, будут сочтены взломом, и они без колебаний выпустят на вас свою команду юристов.
С другой стороны, если компания новичок, если она хорошо понимает такие вещи, как социальные сети, и в целом поддерживает и открыта для своих клиентов, тогда да, дерзайте.
Вот несколько руководств здравого смысла при раскрытии уязвимостей, чтобы избежать неприятностей:
Для более формального набора рекомендаций вы можете взглянуть на Форум CCSS и OIS Рекомендации по составлению отчетов об уязвимостях и реагированию на них. Я считаю, что вас в первую очередь интересуют этапы «обнаружения» и «уведомления».
Ни одна здравомыслящая компания не вызовет у вас проблем, если вы сообщите об уязвимости в частном порядке. Позволить законным гончим ада проиграть стоит больших денег. Однако, если они интерпретируют это как попытку вымогательства или вы изо всех сил стараетесь их опозорить, они могут решить привлечь к вам команду юристов.