这当然不是标准做法。即使此人在您的网站上发现了合法问题，这也是一种勒索形式。

有适当的“负责任的披露”，专业的“安全研究人员”不会一开始就索要现金。漏洞赏金计划的存在是有原因的。

问题是您不知道该漏洞对您来说是否值 100 美元。

这很可能是一个骗局，但如果您正在与沟通能力差的合法专业人士打交道，您可以询问细节，例如问题出在哪里（“基础设施”？这对于网站来说很奇怪） ，以及有关他们是谁的任何详细信息以及他们在安全研究方面的专业工作证明。

如果他们煽动情绪或扩大勒索，那么您就知道这是一个骗局。不要安装或打开他们发送给您的任何文件。如果他们是合法的，他们将与您合作。

给你一个想法，我不是专业的测试员，我不做错误赏金。但偶尔，我会发现一个网站的漏洞。我首先联系该公司，询问将处理网站漏洞的人，并用 1 句话概括一般问题。我这样做是为了确保我能与负责人交谈，而不是与可能滥用或错误处理（或无法理解）我将提供给他们的信息的未经授权的人交谈。我还向他们提供了我是谁的证明，这样我就不会被认为是骗子。

当我与我能做到的最好的人交谈时，我会给出完整的分解，包括我重复问题的过程、URL、参数等，以及我认为这是一个问题的原因。我回答他们提出的任何问题，但我从来没有给人留下我需要或希望他们做任何紧急事情的印象。我让他们进行风险评估。那是他们的工作。这是他们的网站。

我也不要钱，但如果我要钱，那是在我尽我所能帮助他们的团队解决问题之后。即使我提出要求，我也不期望得到金钱或任何形式的奖励。

要么该站点有一个错误赏金计划，该计划定义了每个相关人员的期望和关系，要么该站点没有，我只是在提供帮助，也许可以从中得到一些东西，或者没有。

这就是专业人士如何使用他们发现的漏洞来处理网站。

我不确定我什至会和那个人交往。这听起来很可疑和边缘勒索。甚至可以想象，该漏洞甚至不存在，但他想向您发送一个“补丁”，该补丁将在您的服务器上安装后门。

在您与该人取得联系之前（如果您决定），请尝试通过阅读您的网络服务器的日志自行查找漏洞，并查找可疑活动，例如可能出现在 URL 中的 SQL 注入痕迹。这会很乏味。所以我会在这封电子邮件发送前的几个小时内开始查找。

如果您有一些脚本技能，您可以充分利用它们来解析日志文件。有用的 bash 命令将是cut,awk等与sortand结合使用uniq（例如构建唯一 URL 列表）。我还将关注 401 或 403 错误，这些错误表明尝试访​​问不允许的页面。也有500个错误。

还要验证您的服务器上没有可疑文件（如 Web shell）。

如果您找到这样的文件，则可以将其用作过滤日志的标准（查看在同一行上发出请求的 IP 地址）。

虽然这是一个 gmail 地址，但对方可能使用自己的邮件客户端从家里发送了邮件。然后，您有可能会在邮件标头中找到原始 IP 地址。

该人可能躲在代理或 VPN 后面，但有些人只是漠不关心、懒惰和笨拙。因此，如果您获得 IP 地址，您可以使用它来过滤您的日志并跟踪他们的踪迹。

当他说“我不小心在你的基础设施中发现了一些漏洞”时，这是很有可能的。如果您的网站允许列出目录，他可能仅通过切断 URL 就发现了周围的敏感文件。然后“修复”是提取文件并更好地配置您的服务器。搜索引擎以这种方式索引了很多文件，这些文件不应该被公开。您可以运行一些查询来找到它们，它们被称为dorks。也许“安全研究员”（或脚本小子）在运行了一个傻瓜之后实际上偶然发现了您的网站，他只是在寻找一些快速而懒惰的钱。

试着让自己昏昏欲睡。在谷歌中输入这个：site:yoursite.com。看看是否有在谷歌索引的页面，那不应该是。

这可能是垃圾邮件，也可能不是垃圾邮件（甚至是敲诈勒索，正如一些答案所声称的那样），但听起来也不是一个好交易。让我们看看事实：

• 该人绝对没有提供任何迹象表明确实存在安全问题，也没有表明您是否会关心它（并非每个理论上的安全问题都是每个网站的实际问题），也没有说明他们的修复是正确的。在某种意义上，这个“提议”类似于有人给你发电子邮件“我在域 X 中提供服务，给我 100 美元，我会告诉你这些服务是什么”。我怀疑在任何其他领域，您都会在几秒钟内将此类请求移至垃圾箱。
• 他们要的数量是花生。这一点，再加上他们不会告诉你问题出在哪里，强烈表明他们“发现”的任何东西都是微不足道的，如果他们事先告诉你，没有人会为此付出代价。你会得到什么（如果有的话——记住，它也可能只是垃圾邮件，你在付款后就再也没有收到过他们的消息）可能是一些自动安全扫描程序和一些通用链接的报告。没有什么你通常会付钱的。如果他们发现了一个严重的问题并且有关于如何解决它的重要信息，他们会告诉你问题是什么，并提出在合同的基础上解决它（当然，要价超过 100 美元） .
• 假设这确实是一个可以明显解决的小问题，我认识的每个有自尊的安全研究人员都会告诉你（特别是如果你是私人或代表一家小公司，我假设）。再说一次，就承包商费率而言，100 美元是微不足道的，而且肯定没有足够的钱来建立这样一个看起来阴暗的交易。查看电子邮件模板，我假设只是运行网站的自动扫描，并在这些工具报告任何内容时生成这样的电子邮件。可能连电子邮件发件人自己现在都不知道这是否是任何人真正会担心的事情。
• 然后，当然，还有一些垃圾邮件的常见迹​​象——主动提供的报价、通用的 Gmail 地址、听起来很重要但通用的声明、使用非传统支付服务（并且没有提及合同、发票等）。 )、提前要钱等。

总而言之：忽略电子邮件。

除了您注意到的所有尖叫“骗局”的迹象外，即使此优惠是合法的（尽管使用阴暗到非法的营销方法），结果也不太可能具有任何价值。只需 100 美元，您可能会获得自动端口扫描的结果，该结果只是将协议响应字符串与可能的漏洞进行模式匹配，而无需进行任何实际测试。

例如，我曾经让一位客户为包含荒谬结果的“专业”扫描支付了超过 100 美元的费用。我的回复包括

您的安全分析师告诉您，帐户“foo”有一个已知的默认密码。系统上没有帐户“foo”。

您的安全分析师告诉您，您的“酒吧”服务被配置为使用弱加密方法。我们在两个版本前删除了该加密方法。

您希望我继续检查安全报告中的其余项目，还是足以解决您的问题？

原来的帖子包括这个重要的一点：

我是一名安全研究员，为一小群私人客户运行漏洞识别服务，我无意中在您的基础架构中发现了一些漏洞。

因此，从理论上讲，他们可能会在扫描与您有业务往来的实体的系统时发现您的系统存在问题。在这种情况下，要求与安全公司合作的客户推荐是完全合理的。