多年来,我在编程(我的主要职业)和服务器管理员方面获得了大量经验,因此在安全实践方面得到了相当不错的支持。我也很擅长发现软件中的安全漏洞(包括但不限于 SQLi),并且已经建立了一个网站列表,可以肯定地使用一些查看。
我的问题是,我联系这些网站的合法性是什么,我说“我看过你的网站,但它看起来很脆弱 - 客户数据可能会受到损害 - 你希望我修复它吗?”。我能否发现该站点实际上易受攻击并被解释为攻击本身?如果潜在客户愿意,他们可以将我告上法庭吗?
当我发现一个易受攻击的站点时,我所做的就是确认并记录该漏洞。我不是为了个人利益(通过修复获得报酬会很好!),只是出于好奇。这是为此类工作寻找客户的可行方式,还是您会推荐一种更“合法”的方式?
任何建议/建议将不胜感激:)