各大漏洞平台和SRC百花齐放,但是让大家头疼的是,漏洞提交之后总是重复了,究竟怎么样才能更快的提交一份漏洞报告呢?本文按照漏洞报告的每个部分进行细分,提出了不少关键性的建设意见,有了这些TIPs相信你能够更加迅速的提交一份漏洞报告。

一、漏洞标题

1、使用UC震惊部的祖传标题。

在输入标题的时候不用特别在意漏洞出现的位置、功能和参数,直接使用一些带感叹号的句子就可以,这样会显得漏洞比较文艺且紧急,最后的评级会比较高。

2、随便输点什么即可。

在输入标题的时候可以让输入法稍微放松些,一些简单的词语不需要太在意,比如”注入咯东“、”未授权反问“,这样会显得你在提交的时候特别的着急,气氛更加紧张,显得漏洞更加紧急,同样可以给人留下一个好印象。

推荐标题:

1.严重!越权支付他人订单!!!
2.一次说走就走的渗透~^_^~
3.发向一个注入问题。

二、漏洞自评

1、别问,问就是严重。

不需要参考实际的漏洞内容和评级规则去做选择,成年人不做选择,全部填写”严重“就可以。这没啥好说的。

推荐评级:

直接严重

三、漏洞详情

1、直击要害、一步到位

描述漏洞的时候不需要按照「网站链接-登录账号-功能点-抓包」这样的步骤详细书写,直接写最关键的问题点就好,这样能最大程度减少大家的提交时间。还能像彩蛋一样留一个Referer给审核人员猜测这个页面究竟是从哪个功能点跳转过来的,趣味十足。

推荐写法:

直接burp发送下面的请求包

GET /evhiuhvlsajf.php HTTP/1.1
Referer: https://www.google.com/
Host: xxx.com

2、截图大法好,不用提供请求包

在抓包阶段,不需要提供http请求包,因为还要复制粘贴太慢了,直接快捷键截图,然后放一张图片大家就都懂了。最好是那种Windows98上截下来的比较模糊的截图,这样审核可能看不清直接就给了高危。

推荐写法:

如图
<img>

3、不需要使用耗费时间的Markdown格式

在报告撰写的时候,markdown格式就显得费事了一些,还需要排版,还是明文的不够安全,所以我们推荐的格式是base64。

推荐写法:

漏洞详情:ZGFpbWF5b25nbWFya2Rvd254c2h1eGllZ2VuZ2hhb2thbg==

4、擅用形容词:全、整、所有、百万

在描述的时候尝试使用一些形容词,能让整体的报告显得通俗易懂,形象立体。

推荐写法:

漏洞危害:获取全站HTML源代码,整站CSS文件,泄露所有的静态图片,代码行数达百万

5、巧用转折句:21天让报告走向跌宕起伏

为了让人更好地理解漏洞报告,可以尝试一些转折的句子,既能够完美的表达当时的心境,又能够发挥课上偷偷读过的小说的文采,让读者身临其境。

推荐写法:

这个时候,我一想,嘿,这不就是这个问题吗!
我恍然大悟,仰天长啸。
于是乎,我凑近了电脑,打下了这一行payload...

修复方案

1、请求外援

这个地方可以让自己的爷爷奶奶或者姥姥姥爷帮忙写一下,不需要自己出马,但是他们一般会按照他们的思路写下他们的想法,一般是直接写”你们在计算机方面比我更懂“,或者写”你们玩手机更厉害“等文案。

推荐方案:

1.你们更懂
2.你们最懂
3.你们比我更明白

2、通用方案

使用上述方法很容易让别人看出来是爷爷奶奶帮忙写的,这个时候你可以教他们一些通用的描述方法,比如”过滤“,虽然只有两个字,但是能够看出来是懂一些安全技术的,或者写”鉴权“,言简意赅但掷地有声,像极了上级领导在审批单子时的批注,令人印象深刻、眼前一亮。

推荐方案:

1.过滤
2.鉴权
3.提高意识

漏洞提交

在最后提交完漏洞以后,一定记得及时通知审核人员,因为他们每天工作的时候都不会看后台的,一般都是在聊天窗口等待大家的消息。可以提交多个漏洞后统一通知他们,也可以提交多个漏洞时,每提交一个就联系一下他们。还有,联系的时候先不要说你提交的是什么,只用发一个”在干嘛呢?“就好,这样做的原因一个是保持你问题的神秘感,其次还可以让他们猜测你的问题,锻炼审核人员的大脑,也被学界称为”量子波动聊天法“。

最后的最后

最后祝愿大家做一个优秀的技术人才,挖更多主流的、有价值的高危漏洞,漏洞报告更上一层漏!

(本文不针对任何个人或团体,纯属娱乐,请勿对号入座,如有冒犯,请趁着气头提交漏洞:https://xianzhi.aliyun.com/)

点击收藏 | 4 关注 | 1
登录 后跟帖