[i=s] 本帖最后由 one-921 于 2025-7-24 00:09 编辑 [/i]
问:什么样的漏洞报告才是一份好的漏洞报告?
答:建议格式和具体要求如下,仅供参考
标题:xxx存在xxx漏洞(举例:bbs.yijincc.com存在越权漏洞可获取全站用户手机号等敏感信息)
漏洞类型:按照真实去写(举例:web安全业务逻辑漏洞)
危害级别:按照实际情况去写(直接看SRC或者赏金项目的公告,你看下自己这个漏洞产生的危害符合那一条评分标准,然后这个评分表标准对应的漏洞级别是什么级别,写上去即可。
特别提醒:不要乱自评严重,除非你的漏洞真的是严重漏洞,事关数据库与服务器的安全了,要不然这个行为很烦人的,有些家对于严重漏洞级别会有电话告警比如你凌晨几点提交了自评严重,那审核要在30分钟之内完成漏洞审核工作和告知相关业务方修复漏洞的,所以还是体谅一下了
漏洞数据包:按照真实漏洞情况填写对应的请求包(举例:把越权查看别人手机号的请求包粘贴上去即可)
正文内容:直接举例说明,来到https://bbs.yijincc.com/,这个页面,点击这里你要把对应的截图贴上去箭头指过去告诉他点哪里,让后说明抓取哪个数据包,把数据包截图贴上去,然后你对数据包做了啥,直接截图指出,你改进了哪些地方,然后再把结果也都完整的贴出来,最后说明漏洞产生的危害是什么
漏洞危害:根据实际情况去写,不清楚应该是哈级别,就看人家公告的评分标准,你看一下符合哪一条,就自评一下就ok了
修复建议:修复建议:如果自己没干过开发的话,可以直接百度一下或者使用ai查一下这个漏洞的修复建议,写的尽量完整一些
附加的几句建议
- 好的报告对于你的漏洞评分会有很大的帮助,所以一定要好好写报告
- 如果你的漏洞级别很牛,建议你同步开启录屏,以免日后产生审核纠纷扯皮
- 不要和src审核方产生分歧争吵,对你是没有什么帮助的,只会加重你这个人在他们那的负面印象,你的漏洞级别不会被审核恶意克扣的,花的钱又不是从他们工资你扣,所以遇到问题好好沟通,讲明道理即可
下附截图实例就是某企业src一份完整的漏洞报告
此报告基本就是一份完整的漏洞报告,是关于逻辑漏洞并发可以造成的危害
提交一份漏洞报告的流程
我就以百度的应急响应中心提交为例
进入官网打开箭头所示页面
漏洞详细按官方的要求写就行了
最后点击提交一份漏洞报告就提交完成了
