您可以尝试让 CERT 参与进来。https://vulcoord.cert.org/VulReport/

如果他们满足以下条件，我们更有可能接受报告：

• 在技​​术上准确、足够详细且相当完整
• 影响多个供应商
• 影响安全或关键基础设施
• 涉及记者和供应商之间的分歧或争议
• 涉及难以接触或反应迟钝的供应商
• 影响对软件安全和漏洞披露不熟悉的供应商或行业
• 要求记者匿名

该漏洞可能由于疏忽、无知或资源有限而存在。业主可以决定何时以及如何解决问题。决定是他们的责任，而不是你的。

1. 采取额外步骤向网站所有者披露您的漏洞证明。
   （即确认他们正在接收您的通讯）

2. 如果您没有得到满意的答复，请将此信息传递给他们的老板。
   （公司或母公司的更高级别）

正如其他人所说，要有礼貌和专业。这将帮助您获得信誉。您应该从简单的人工解释开始（只是事实），并在同一封电子邮件中包含技术细节。（以便公司在回复之前验证您的调查结果）

如果所有途径都失败了，我会鼓励您将证据传递给负责任的公共服务（一位海报建议 CERT），但我在这方面没有经验。

您不应公开披露该漏洞。

• 这可能导致不怀好意的个人成功攻击。
• 在许多司法管辖区，公司可以对处于您职位的个人施加法律后果。
• 这样的发布可能会导致攻击者和防御者之间的责任平衡不佳。

我承认在某些情况下公开披露漏洞是正确的，但我强烈建议您将这种负责任、谨慎和公正的处理方式推迟到在此类问题上更有经验的公共服务部门。

你应该做的最后一件事是说：修复它，回答，或者我会在给定的时间内发布你的错误。

你应该考虑什么：

• 确保足够的时间过去
• 再次联系他们，确保您的邮件包含一个 PoC，解释危险以及如何模拟等，并制作一个关于您利用该漏洞的小视频。
• 明确告诉他们你没有恶意，并留下一些个人信息（邮件地址和姓名）。
• 给一个截止日期，假设您根据负责任的披露政策被迫在几周内向公众发布错误。提一下：deadline不是说“那么应该修好”，而是说“到那时你应该开始修了”。
• 在他们的下一个回复中谈论错误赏金/奖励；不要推他们。
• 尝试打电话和/或他们正在使用的社交媒体？
• 友好、清晰、专业。

如果这是您公司内部的或以某种方式与您有关，请记录所有内容和通信。负责任地向上传递并将信息传递给上级或管理机构。