快速说明：此答案假定您有权对网站运行扫描仪。对网站运行扫描仪基本上在所有司法管辖区都是非法的，所以如果你这样做，那么我唯一的建议是：“停止！”。

你不应该做的事

您永远不应该将扫描仪的漏洞报告发送给公司。90% 的情况下，它们本身毫无用处，并且很可能被任何称职的安全团队忽略。原因是扫描器可能有任意数量的误报，因此漏洞扫描器的肯定并不意味着存在漏洞。然而，新的漏洞赏金测试人员通常只是简单地将漏洞报告从扫描仪发送给公司，而不了解报告所说的内容、是否正确，或者是否适用。因此，安全团队通常会忽略直接来自扫描仪的报告。大多数错误赏金计划都明确说明了这一点。

你应该做什么

相反，您应该花时间自己生成漏洞报告，这意味着您描述了漏洞的性质、他们可以采取的步骤来确认您的发现、漏洞给公司带来的风险，以及他们可以采取的潜在步骤减轻危险。这就是你应该发送给公司的东西，发送类似的东西几乎总是一个好主意。

如果这是一家没有公共漏洞赏金计划的公司，那么他们就更不可能从扫描仪中理解报告，因此花时间和提供一份实际的漏洞报告，详细说明漏洞、对业务的影响、对其严重性的估计以及建议的缓解步骤。显然，尽管这不是您所处的情况，因为在大多数司法管辖区，未经明确批准在网站上运行自动安全扫描是非法的，而且一般来说是个坏主意......

tl/博士：

您是否应该将扫描仪的结果发送给公司？ 不，因为这通常没用。你应该做的是验证扫描程序没有报告误报，然后发送一份报告，详细说明漏洞、他们可以做些什么来重现它、解释其影响以及建议的缓解步骤。在任何情况下，您显然都不应该“入侵”系统。

漏洞扫描或任何其他可能被解释为敌对行为的规则之一：首先获得高级管理层的书面许可。未经请求的“漏洞扫描”与黑客攻击没有区别 - 如果您使用通用工具，并且他们正在进行任何智能监控，他们将检测到该扫描并记录您的 IP 地址。对于您发现的漏洞的措辞不佳的报告与威胁无法区分。如果幸运的话，他们网站中存在的常见错误可能意味着他们没有良好的监控。但是，如果这样的公司认为（无论多么错误）你威胁要入侵他们，他们更有可能报警。

这样想：有一天，一个随机的陌生人告诉你，你的窗户没有上锁。他或她发誓他们没有进入你的房子。您会感激还是想知道为什么这个人要尝试您的窗户？

说起来很可悲，但这就是当今世界的现实——你最明智的选择是什么都不做。考虑到您今天已经了解了一些有关漏洞扫描的知识，然后继续前进。

你想成为白帽还是黑帽？答案可能还取决于根据您所在的国家/地区、公司所在的国家/地区适用哪些法律。

总是好的事情

使用负责任的披露流程向公司披露调查结果。

看看公司是否有漏洞报告流程。一个好的开始是看看他们是否有一个https://company.com/.well-known/security.txt. 如果没有，则四处搜索，看看他们是否有用于报告此类事情的安全电子邮件地址。

如果您不能或不想直接与公司打交道，另一种选择是通过像US Cert这样的中间人进行报告。

这里还应该说明的是，如果您希望公司认真对待您，您需要清楚地描述问题、重现步骤、描述它在他们的应用程序中的普遍性、可能造成的损害和攻击者，以及他们应该做修复它。如果您只是通过扫描仪向他们发送报告，他们可能会忽略您，或者更糟的是在您之后派律师（见下文）。

有时没问题的事情

有时可以在不通知公司的情况下发布结果（例如通过提交 CVE，或撰写博客文章、github repo）。

根据漏洞的类型和严重程度，如果人们在公司有时间修复它之前被黑客入侵，这最终可能造成的损害大于好处。

“有时没问题的事情”可能包括首先运行扫描仪。除非您被雇用来执行此操作或有错误赏金计划，否则它可能会被解释为黑客攻击。（感谢@EsaJokinen）。一个快速的谷歌搜索表明，当你未经许可进行“安全研究”时，你很可能会被判入狱，就像得到感谢一样：

• 美联储扩大安全研究人员无需入狱即可进行黑客攻击的能力
• 安全研究员因披露美国选举网站漏洞而被捕
• 被捕的安全研究人员的案子出现转机
• 当网络安全研究导致入狱时
• 保护只是在做自己的工作的白帽黑客

使用安全扫描仪访问他人的网站可能会给您带来大麻烦，因此请确保您在执行此操作之前了解其法律含义！

永远不会好的事情

自己入侵网站。

在每个有这方面法律的国家，这无疑是非法的。

采取这种方法时要非常小心，因为你可能会损失很多，而且我不确定你会得到什么（至少从白帽的角度来看）。