我有多年在大学 ICT 团队中工作的经验。这是我根据我的经验推荐的。

我不会去管理层，他们不会在意，否则非技术经理会反应过度并将问题作为个人任务。此外，如果您担心被指控“黑客”，那么最有可能这样做的是非技术管理人员。

我建议记录安全漏洞并将其提交给 ICT 服务台。

如果您作为学生无法访问服务台，请直接向他们发送电子邮件，或者只是打开办公室的门并向他们解释情况，他们会建议您如何进行。（敲门可能是最好的选择）他们可能只是提出一张票让技术人员查看问题，然后从那里进行升级程序。

不要担心向他们提出这个问题，即使结果没有任何问题，大多数团队都会为主动报告这些缺陷而感到高兴。根据经验，我可以说学术界的大多数人，无论是支持人员还是学术人员，只有在 ICT 影响到他们个人时才会提出有关 ICT 的错误。

我过去曾发现过故障，但只有一名工作人员告诉我，该故障已存在数月之久。我的回答总是一样，“那你为什么不向 ICT 提出罚单来修复它？”

不要以学生的身份提出这个问题。您的担忧是有道理的：学校通常将学生视为儿童，他们的行为充其量是毫无意义的，最坏的情况是恶意的。在最好的情况下，你会被忽略，在最坏的情况下，他们会射杀信使并惩罚你进行黑客攻击。他们甚至可能因为过去任何未解决的学生证滥用行为而责备您。

我建议你通过你的父母提出这个问题。与成年人接触时，学校管理层通常会更加合作。“解决问题或我与媒体交谈”的踢球者通常效果很好。

找律师为您披露。他们必须对您的身份保密。也许你可以找到一个愿意免费这样做的人。或者，也许你的父母知道一个。

我同意TheJulyPlot的观点，即应将安全问题提交给负责网站安全的 IRT/CSIRT/SOC/CERT 团队。一所小学校可能没有任何专门的职位，而一所大学肯定有。

目标是这些人 (a) 在技术上能够理解您所报告的内容，并且 (b) 意识到您实际上在帮助他们，同时能够在需要时将其发送给更准确的接收者（例如，实际错误可能需要由单独的开发团队修复）。

如果您不知道处理您机构安全问题的团队是哪个团队或如何联系他们，您可以上一层：联系国家 CERT 或 - 对于大学 - 联系其所属研究网络的 CERT。

例如，根据您（和实体）所在的位置，您可以在美国通知US-CERT、英国JANET CSIRT、西班牙INCIBE-CERT、哈萨克斯坦KazAcad CSIRT ...

没有完整的团队指南，但通常您可以在FIRST或 -for European CERTs- Trusted Introducer上查找与您的案例最相关的 CSIRT 。

请注意，每个人都有自己的选区。如果需要，您所在国家/地区的国家 CERT 可能会处理将其重定向到大学的报告，但完全不相关的私营公司的 CSIRT 可能会丢弃它。

在（几乎？）每种情况下，都可以通过电子邮件发送事件报告（如果您没有找到列出的，请查找他们的 RFC 2350 部分）。这意味着，对于基本的匿名性，您只需创建一个新的免费邮件帐户并使用它来发送您的事件报告。事实上，您甚至可以跳过创建新电子邮件并从您常用的电子邮件地址发送（您也可以在报告中提到您不希望保持匿名）。如果您没有犯罪，那么任何人都不太可能关心您的真实身份。我建议您检查该电子邮件（如果需要，请他们更新），而不是“发送并忘记”。您可能会受到感谢，并让他们知道他们将从现在开始处理它，但他们也可能会要求您提供更多信息，或者要求您将其发送给不同的团队。

我还建议您在发现后尽快报告，以尽量减少事与愿违的可能性。被误导的人可能会认为无论你发现了什么，你都会滥用它并且是一个邪恶的黑客，不管它对实际漏洞有多么愚蠢。但是，通过迅速采取行动来解决这个问题（实际上并没有滥用它！）。可能有一些可以检查的日志。如果他们发现您测试了该漏洞（即使他们需要几个月的时间才能自行发现），那么您在 1 小时前就已经完成了，在他们收到报告之前，电子邮件会描绘出与您在 6 个月前发现它完全不同的图像. 即使您的通信由于某种原因没有到达他们（例如，假设他们的滥用邮箱已满！），电子邮件提供商上的记录本身（即。