如果您在竞争对手的网站上发现漏洞，该怎么办？

在为我公司的项目工作时，我需要构建功能，以允许用户将数据导入竞争对手的站点/从我们的竞争对手的站点导入/导出数据。这样做的时候，我发现了一个非常严重的安全漏洞，总之，它可以在竞争对手的网站上执行任何脚本。

我的自然感觉是本着诚意向他们报告这个问题。利用这个问题来获得优势，这使我心烦意乱，但是我不想走这条路。

所以我的问题是，为了帮助他们，您是否会报告直接竞争的严重漏洞？还是闭嘴？有没有更好的方法来解决这个问题，也许至少可以从我通过报告问题来帮助他们的事实中获得至少一些好处？

更新（澄清）：

感谢您到目前为止的所有反馈，我们非常感谢。如果我要补充一点，我要补充的是，所涉及的竞争是市场的庞然大物（在几个大洲有数百名员工），而我的公司才在几周前才成立（三名员工），您的答案是否会改变？不用说，他们绝对不会记得我们，并且，如果有的话，只会意识到他们的网站需要工作（这就是我们首先进入这个市场的原因）。

这可能是道德上或商业上的折衷之一，但我很欣赏所有建议。

尽管我希望生活在一个世界上，只要给他们放个便条以告知他们，这绝对是安全的，但我建议您先让您的法律部门参与。实际上，无论您的错误报告的意图是多么好，竞争对手组织中的某人都将其解释为“我们的竞争对手只是付钱给了一名员工来入侵我们的网站”。这种看法可能会给您和您的公司带来法律或公关问题。让您的法律部门参与通知应有助于使所有人免受不当行为的影响。当然，这可能会导致法律部门得出以下结论：通知竞争对手会产生无法接受的法律风险，并告诉您只听这些信息。但是那

这听起来很糟糕（至少与这里的大多数答案相比），但是我的2美分：

你为什么要做什么？

首先，他们已经有应该从事这类工作的员工（查找问题并加以解决）。

其次，您提出问题的方式听起来像是一种道德困境。不是。首先，您没有做任何导致该问题的事情。

第三，您正在与他们竞争。您应该专注于使**您的产品达到最好的水平，而不是他们的产品。

如果您仍然有疑问，请回到我的第二点，然后重新阅读。

在探索漏洞和进行工业间谍活动之间，只有一条微妙的界限，并且由于您与雇主有联系，因此竞争对手可以考虑后者。

如果您举报该举报，并且遇到法律/公关噩梦，您将是替罪羊。

与您的法律部门联系，让他们按照自己认为合适的方式进行处理-这是他们比工程师更具优势的原因。

在不给您自己的公司带来风险的情况下，将信息提供给竞争对手而不给您的竞争对手带来风险的另一种机制（尚未建议AFAICS）是让各种漏洞报告公司之一了解该漏洞-并要求他们将其报告给您的竞争对手。他们（漏洞报告公司）会将您的姓名保留在报告之外-您将对竞争对手保持匿名。零日倡议组织（ZDI）就是这样的一家公司-还有很多其他公司。

当然，以匿名方式将其泄漏到媒体上，然后向竞争对手的客户提供快速迁移。这似乎是一个沉重的打击，但是考虑到这一点，您所做的事情没有任何违法或不道德的做法，请进一步考虑这是西南部的“狗食狗”世界，而当大卫与戈利亚斯对抗时，您将需要所有杠杆。请记住，这不是个人的，而是严格的业务。他们会心跳加速。

（FWIW我完全希望这个答案会被否决，但这没关系，因为我要说的是事实，尽管这是一个苛刻的回答。）

如果他们在您的软件中发现安全漏洞，您希望他们怎么做？那应该是您提出的第一个问题。如果答案是“如果他们告诉我，我将非常感谢”，那么，您就可以回答了！

他们是一家大型公司或三人商店都没关系，而您是一家三人商店或一家巨人公司也没关系。如前所述，您的声誉就是一切，尤其是在这个称为软件的小社区中。

如果要在他们的系统和您自己的系统之间导入/导出数据，则他们的安全漏洞很容易成为您的安全漏洞。

您需要从技术上和法律上掩盖您的屁股。确保它已修复，但请确保您的法律部门可以通知他们。

显然，让他们知道。

如果“发自内心的善意”不是一个足够好的理由，请考虑将此功能实现为对您自己的客户有利。您可以通过报告此错误来间接保护他们的数据。

只有一个光荣的选择。告诉他们。

我个人会告诉他们。

其他人已经指出了可能的PR / Legal问题，如果在与图层或PR代理交谈后，建议您不要进行报告，我还是会匿名举报。

通过帮助保护他们的数据，它使您的潜在客户受益。

原则上，我完全同意这里所说的：加强并报告。有一个专业的荣誉准则，就像在海上一样：如果船舶遇到麻烦，无论它属于谁，您都可以提供帮助。

但是，在阅读您的更新时，我可能会决定不告诉他们，因为这样的风险是，如果采取了故意的措施，可能会采取错误的方式（如@Uri所说的工业间谍活动），并导致敌对行动更加危险。您的三人间商店比他们将要去的他们要多。

也许丢下一个匿名笔记；也许什么都不做。如果您是David，则不必告诉Goliath他的背上坐着一只蜜蜂。

尽管有严酷的一面，自然也有其美好的时光。并表现出他们三思而后行。

狗不吃狗。相反，无聊的人为非法的狗打架付钱。律师收钱。包括来自您老板的。比您现在想要的更多。他们可以愉快地耗尽初创企业而不会眨眼。

也很有可能，“竞争对手”的人已经知道了。与成为一个简单的传讯者相比，发布新闻可能意味着更多的责任。这比和墙壁说话好吗？

安全业务：许多有大漏洞的服务器在线。这台服务器是另一台。全职工作的一些。你检查过自己的孔了吗？他们都是 ？

小心台阶。

客户数据是重要的困扰。

告诉他们。然后发送简历。他们可能正在招聘。:)

告诉他们！这是正确的事情。另外，如果您在他们的位置，他们希望他们做什么？

您不能在可能产生的善意上重视价值。