刚挖到漏洞，心跳加速，手抖着截了张图，第一反应是不是想发朋友圈装逼？或者急着去黑产群卖钱？打住。

我见过太多新手，挖到个SQL注入，兴奋得睡不着，转头就把PoC（概念验证）发到了公开论坛，或者更蠢，直接去目标网站后台留言“我有漏洞”。结果呢？没拿到赏金，先收到了律师函，甚至被网警请去喝茶。

在网站上找到漏洞之后怎么做，这不仅仅是技术问题，更是法律和心理博弈。

先说个真事。去年有个兄弟，挖到某知名电商平台的越权漏洞。他太急着证明自己的能力，没做详细测试，直接批量跑了一遍数据，虽然没造成实质损失，但触发了风控。对方安全团队直接封了他的IP，还保留了日志。后来他找我哭诉，说想解释，但对方已经立案了。这就是不懂规矩的下场。

在网站上找到漏洞之后怎么做，核心就三个字：守规矩。

第一步，确认漏洞等级和影响范围。

别一上来就写报告。先自己跑一遍，确认是不是误报。如果是，删掉，当没发生过。如果是真的，评估影响。是只能看自己的数据，还是能看别人的？是能读，还是能改？这一步很关键，决定了你报告的含金量。

我有个朋友，挖到一个XSS漏洞，但他没急着报，而是花了一天时间，尝试构造更复杂的Payload，发现可以窃取Cookie。他把这个细节写进报告，最终拿到了高额赏金。而另一个人，只报了个弹窗，被拒了。差距就在这儿。

第二步，寻找正确的披露渠道。

别乱发邮件。去目标公司的安全响应中心（SRC）官网，或者看他们的robots.txt，有时候会有hint。如果没有，就去CNVD、补天这些正规平台提交。

千万别去社交媒体曝光。现在大公司的法务团队很厉害，你一发微博，他们不用找你，直接起诉你侵犯商业秘密或破坏计算机信息系统。在网站上找到漏洞之后怎么做，选择正确的渠道，是保护你自己的第一步。

第三步，撰写一份专业的报告。

别写“你好，我发现了漏洞”，这种废话没人看。报告要像给医生看病历一样清晰。

1. 漏洞名称：比如“用户信息越权读取”。

2. 影响范围：具体到哪个接口，哪个参数。

3. 复现步骤：第一步、第二步、第三步，要详细到小白都能看懂。附上截图，截图要清晰，关键信息打码。

4. 修复建议：别只说“修复它”，要给出具体建议，比如“增加权限校验”、“使用白名单过滤”。

我见过最烂的报告，就是截个图，说“这里有问题”。这种报告，安全工程师看了想打人。

最后，保持耐心。

提交后，可能几天没回应，也可能一周。别焦虑。如果超过两周没动静，可以礼貌地催一下。但别天天催，那样很掉价。

在网站上找到漏洞之后怎么做，其实是一场修行。它考验你的技术，更考验你的人品和职业素养。

记住，漏洞是工具，不是武器。用得好，你是白帽子，是英雄；用不好，你是黑客，是罪犯。

别为了那点蝇头小利，把自己搭进去。在这个圈子里，名声比钱重要。一旦你有了不良记录，以后正规SRC都不会要你，黑产群也嫌弃你。

所以，下次再挖到漏洞，深呼吸，关掉朋友圈，打开文档，认真写报告。这才是正道。

顺便说一句，我上次写报告，因为太累，把“修复建议”写成了“修服建议”，虽然意思懂，但显得不专业。大家写的时候，记得多检查几遍。别像我一样，粗心大意。

希望这篇能帮到刚入坑的你。别急，慢慢来，比较快。