Наказания за обнаружение уязвимости нет. Но и пряника, скорее всего, не получите. За исключением очень небольшого списка компаний, у которых есть bug-hunting программы. Но у них XSS уязвимостей уже нет