告诉他们有关错误的信息是合法的，向他们提供有关错误的详细描述以及您是如何遇到它的。

无法预测的是公司的反应。它可能会有所不同，例如他们向您发送奖励/小礼物（发生在我身上），他们试图以罪犯的身份起诉您（匿名举报他们可能有助于解决这个问题）。如果该错误损害了网站及其信息，请明确表明您没有以这种方式使用该错误。

如果您有知识，请尝试就如何修复错误提出建议，以使公司更清楚您正在尝试帮助他们（我也做过）。

重要提示：如果公司拒绝承认漏洞，请不要寻求利用它的方法并引起注意。这很可能会导致对您采取法律行动。

在加拿大，您似乎很安全……暂时。在其他任何地方，这取决于“搜索错误”是否意味着在某人的网站上找到可能违反其网站使用条款和条件的漏洞（例如渗透测试）。

这可能有几种不同的方式，具体取决于接收电子邮件的人的反应、消息的措辞以及重现问题的声明步骤。

典型的法律礼貌示例：

敬启者，

通过正常浏览，我在您的网站上发现了一个可能会危及您的服务器的漏洞。我在 IT 行业工作，并注意到此页面可能会http://www.somesite.com/somepage损害<list exploit here>网站的完整性。我喜欢使用您的网站，并认为我会引起您的注意。

最好的祝福，

-ArtDesire

以下内容可能不被解释为合法：

有时演示就是一切，虽然人们可能有最好的意图，但测试漏洞或重新确认漏洞可能会采取错误的方式。这通常不是一个好的法律示例，因为它让服务器的管理员知道提交通知的人至少违反了他们的服务条款：

哟伙计们，

我完全尝试了我在网上找到的这个新脚本，发现有人可以完全按照这个链接访问你的服务器 <link here>。你可能想检查一下。我只测试了几次。

祝你好运，

-ArtDesire

在某些城市，积极测试他人网站上的漏洞利用绝对是非法的。服务器维护访问日志，因此如果发生任何可疑的事情，然后通知管理员，当他们返回日志时，它可能会为他们抛出一个标志。然后他们可以使用电子邮件中的任何信息（包括标题）以及他们可以直接访问的任何信息来尝试追踪发生的事情。客户端计算机上的跟踪 cookie 可用作调查的证据。

一旦启动调查，行动将取决于有关服务器位置的法律（物理控制）、服务器所在国家/地区的法律、服务器的维护者（负责服务器内容的人）一些国家），以及基于是否有罪的引渡政策，除非证明有罪，反之亦然。

如果发现错误（例如代码溢出到页面上。），让别人知道通常不是非法的。

我试图告知某人有关漏洞利用的大多数网站通常都会以预设响应结束，例如：

“我们使用世界上最好的程序员，你不知道自己在说什么。如果有问题，我们确信程序员知道并正在解决它。”

或者他们会说：

“您发现的问题很可能是您的计算机问题。我们不能保证每个人都会有相同的浏览体验。”

记住“没有善行是不受惩罚的”。 黑客法律变得越来越严格，这些法律的解释往往落入不知情的人手中。为了安全起见，我总是记得记录一切。

许多网站都有免责声明，禁止您在其网站上进行任何安全测试。

因此，如果您真的想这样做，我建议您匿名报告该错误，并且像其他人所说的那样，请务必提及您这样做只是为了帮助他们。

我喜欢这里的一些答案，但想提一下另一种可能性——通过法律代表披露。我并不是说这可能值得您麻烦，但可以在您不想披露任何可能导致识别您身份的信息的情况下工作（通过服务器日志检查匹配活动，正如@AbsoluteƵERØ 在他的回答中提到的那样，或稍后在尝试通知 Web 服务器的各自所有者时透露您的身份）。

从某种意义上说，您的法律代表将测试理由，甚至可能就不起诉披露条款达成一致。然后，您可以稍后决定继续进行详细披露，以帮助所有者减轻发现的任何潜在漏洞，或者如果您没有理由信任所有者、害怕被起诉或您的法律代表建议您这样做，则干脆走开. 这通常被称为法律语言中的明智战术决定（我显然不是律师，请注意）。

法定代表人有义务保护您的利益，不得被迫披露任何有罪的信息并透露您的身份，除非假定存在明显的生命威胁或类似程度的危险（取决于当地法律）。这些法律在大多数民主国家都比较相似，但我不知道加拿大的具体情况。不过，直接咨询律师不应该花费任何费用，法律建议通常（而且应该）是免费的，而处理商定的披露协议的费用可以由披露的受益方（所有者）承担。

无论如何，只是认为值得一提这个选项。如果您认为它过于复杂和耗时，那么我建议您遵循那些理解您可能会遇到麻烦的回答者的建议，并建议您应该注意什么以及如何解决这个问题。在我回答之前看到这个问题已经充分涵盖，我不想重复已经提出的观点。

编辑添加：有一件事不是特别清楚，这可能会限制我们给出更有意义和相关答案的能力。“查找错误”到底是什么意思？您是否偶然偶然发现它们，通过正常使用他们的网站，您只是碰巧知道一些错误是可利用的，并且您为了解它们所做的任何事情都可以被任何其他尊重 ToS 的用户重复，或者您是否积极地搜索/扫描对于错误和漏洞？这是 IMO 最决定性的因素，您是否可以披露调查结果而不必担心被起诉，或者您应该采取预防措施（正如其他答案中已经涵盖的那样）。