想象以下情形:

您在Big Co.工作，而您的同事在Big Co的公共(public)博客系统的Web开发团队中，该系统由Big Co的许多员工和一些公众使用。博客系统允许使用任何HTML和JavaScript，并且已经告诉您这是一个选择(并非偶然)，但是您不确定他们是否意识到这一点。

因此，您想让他们相信这是一个坏主意。您编写了一些演示代码，并在自己的博客中植入了XSS脚本，然后编写了一些博客文章。不久之后，首席博客管理员(在大厅下)访问了您的博客文章，XSS将他的cookie发送给您。您将它们复制到浏览器中，现在以他的身份登录。

好的，现在您已经以他的身份登录了……并且您开始意识到继续前进并“破解”博客系统可能不是一个好主意。但是你是个好人!登录后，您无需再触摸他的帐户，并且您绝对不打算公开此漏洞。您可能只是想向他们展示公众有能力做到这一点，以便他们可以在恶意者意识到同一件事之前对其进行修复!

从这里开始的最佳做法是什么？

确实取决于您在公司中的职位，礼堂人员的性质等等。

提出一种选择:

走近它们，用抽象的术语描述威胁(“有人可能劫持您的cookie，这反过来又……”)，然后问他们是否愿意看演示？如果有很大的自负，并且您确实希望他们进行修复，请不要与整个团队讨论，而要与团队负责人讨论。

如果他们同意，请等待几个小时，然后以“他”的身份重新登录，并在系统中进行无损但引人注目的操作-您在他们的允许下进行了此操作。他们可能会留下深刻的印象，并确保漏洞得到解决。

如果他们不同意并告诉您走开，那么，您就必须权衡您的选择:要么将其放在更高的位置，要么将其掩埋。通过提及该问题，您将放弃以匿名方式发送它的所有选项。

如果您不能100％确保决策链中的每个人都是合理的并且完全了解您在做什么，并且这对公司有利，那么我就不会做任何流氓的“黑客”事件-总是在谈论首先，特别是在大公司环境中。这些东西太容易被误解为对您不利的恶意软件-尤其是如果有人因构建此安全漏洞而感到尴尬，并想将责任归咎于其他人。