首先，如果可能的话，我会半匿名进行。禁止黑客攻击的法律通常很广泛，您的行为可能会被偏执的法律团队/业务类型解释为“黑客攻击”，他们更讨厌在网站开发上花费更多而不是拥有安全的东西。

其次，由于法律问题，我不会探讨漏洞的程度。例如，我可以获得密码哈希吗？我可以获取用户数据等吗？

三，不要没有透露漏洞或威胁这样做不是他们公司的人; 他们可能需要数周/数月的时间才能让设计师明智地修复他们现有的代码。（例如，单独的开发人员正在休假/不称职/等）。

第四，我会尝试检查是否存在管理员/开发人员电子邮件地址并直接与他们联系。该contact-us页面可能会被定向到不了解 SQL 注入含义并忽略该电子邮件的营销部门。html 页面是否在源代码中列出了任何作者/公司以及电子邮件联系方式？或者您可以whois在域上运行并找到技术联系人吗？

whois stackexchange.com
...
TECHNICAL CONTACT INFO
Stack Exchange, Inc.
Sysadmin Team
1 Exchange Plaza
Floor 26
New York
NY
10006
US
Phone:         +1.2122328280 
Email Address: sysadmin-team@stackoverflow.com

您还可以尝试一些域的标准电子邮件（例如，webmaster@example.com）

最后，如果这些都不起作用，请通过“联系我们”发送另一条消息，该消息链接到介绍什么是 SQL 注入、它可能给他们的组织带来什么危险、为什么你注意到他们的网站可能容易受到攻击的文章（同样原因恶意类型会注意到），以及他们必须做些什么才能使他们的网站免受这种特定攻击。

我已经发送了像您一样的电子邮件，但很少收到回复。从他们的角度想一想：某个随机的人告诉他们他们正在入侵他们的网站……您如何回应他们？如果我收到这样的电子邮件，我会迅速解决问题而不回复。我不想进一步升级“关系”，以防与我联系的人想要的不仅仅是通知。

你也只能负责这么多。你尽你所能通知，然后由他们决定。这是他们的网站，他们的风险，他们的补救成本。

还有一个您可能需要解决的法律问题。通过宣布您以所有者无意的方式使用该网站，您可能会受到黑客法律的约束，并且即使您没有造成所有者发现的任何损害，您也可能需要承担责任。了解您所在辖区和目标站点的法律。

并非所有的发现都来自于现场现场的探索。可以下载和探索 CMS，对于各种 CMS 的插件/插件也是如此。

当谈到他们可能坚持的安全性或对安全性的看法时，Web 维护人员通常会傲慢自大，但我发现大多数作者都很愉快并感谢有人向他们指出了一些东西。

最礼貌的方法是给他们一个警告然后继续前进。如果他们对此有所作为，他们就会对此有所作为。我最近收到了我联系过的人的礼貌回应，去年只有一次我对提出问题有负面反应，两次当我指出 CMS 插件中的错误时我没有收到任何回复。

通常，尽管公认的简单方法是： - 通知问题的所有者/作者/开发人员（不仅仅是应用程序系统用户） - 如果在一周内回复并且有礼貌，那么给他们时间修复并发布更新是那种系统（CMS，插件等），然后通过其中一个在线漏洞利用数据库站点发布错误，如果他们自己还没有这样做的话。- 但是，如果在几次重复通知和几周的等待之后没有回复（甚至是自动回复），或者更糟糕的是，您会收到受影响系统所有者的谴责，然后将其 0day 发送到 bugtraq 或漏洞利用数据库站点。

如果他们故意忽略您的通知，0day 虽然不是最流行的通知方法，但通常会以一种或另一种方式向他们发送消息。