白帽子必备!漏洞报告提交攻略

时间  2021-01-10
标签 php html web 面试 安全 微信 markdown 网络 app 编辑器 栏目 PHP 繁體版
原文   原文链接


点击蓝字关注咱们👆php

零基础黑客教程,黑客圈新闻,安全面试经验html

尽在“掌控安全EDU”web

各大漏洞平台和SRC百花齐放,可是让你们头疼的是,漏洞提交以后老是重复了,究竟怎么样才能更快的提交一份漏洞报告呢?面试


本文按照漏洞报告的每一个部分进行细分,提出了很多关键性的建设意见,有了这些TIPs相信你可以更加迅速的提交一份漏洞报告。
安全



1、漏洞标题微信


一、使用UC震惊部的祖传标题。
markdown


在输入标题的时候不用特别在乎漏洞出现的位置、功能和参数,直接使用一些带感叹号的句子就能够,这样会显得漏洞比较文艺且紧急,最后的评级会比较高。网络


二、随便输点什么便可。app


在输入标题的时候可让输入法稍微放松些,一些简单的词语不须要太在乎,好比”注入漏洞“、”未受权反问“,这样会显得你在提交的时候特别的着急,气氛更加紧张,显得漏洞更加紧急,一样能够给人留下一个好印象。编辑器

推荐标题:1.严重!越权支付他人订单!!!2.一次说走就走的渗透~^_^~3.发现一个注入问题。



2、漏洞自评


一、别问,问就是严重。


不须要参考实际的漏洞内容和评级规则去作选择,成年人不作选择,所有填写”严重“就能够。这没啥好说的。

 
  
 
   
推荐评级:直接严重
 
  
 
  

 
  

 
   
  
3、漏洞详情
 
  

 
  
一、直击要害、一步到位
 
  

 
  
描述漏洞的时候不须要按照「网站连接-登陆帐号-功能点-抓包」这样的步骤详细书写,直接写最关键的问题点就好,这样能最大程度减小你们的提交时间。还能像彩蛋同样留一个Referer给审核人员猜想这个页面到底是从哪一个功能点跳转过来的,趣味十足。
 
  

 
  
 
   
推荐写法:
直接burp发送下面的请求包
GET /evhiuhvlsajf.php HTTP/1.1Referer: https://www.google.com/Host: xxx.com
 
  
 
  

 
  
二、截图大法好,不用提供请求包
 
  

 
  
在抓包阶段,不须要提供http请求包,由于还要复制粘贴太慢了,直接快捷键截图,而后放一张图片你们就都懂了。最好是那种Windows98上截下来的比较模糊的截图,这样审核可能看不清直接就给了高危。
 
  

 
  
 
   
推荐写法:
如图<img>
 
  
 
  

 
  
三、不须要使用耗费时间的Markdown格式
 
  

 
  
在报告撰写的时候,markdown格式就显得费事了一些,还须要排版,仍是明文的不够安全,因此咱们推荐的格式是base64。
 
  

 
  
 
   
推荐写法:
漏洞详情:ZGFpbWF5b25nbWFya2Rvd254c2h1eGllZ2VuZ2hhb2thbg==
 
  
 
  

 
  
四、擅用形容词:全、整、全部、百万
 
  

 
  
在描述的时候尝试使用一些形容词,能让总体的报告显得通俗易懂,形象立体。
 
  

 
  
 
  
 
   
推荐写法:
漏洞危害:获取全站HTML源代码,整站CSS文件,泄露全部的静态图片,代码行数达百万
 
  
 
  

 
  
五、巧用转折句:21天让报告走向跌宕起伏
 
  

 
  
为了让人更好地理解漏洞报告,能够尝试一些转折的句子,既可以完美的表达当时的心境,又可以发挥课上偷偷读过的小说的文采,让读者身临其境。
 
  

 
  
 
  
 
   
推荐写法:
这个时候,我一想,嘿,这不就是这个问题吗!我恍然大悟,仰天长啸。因而乎,我凑近了电脑,打下了这一行payload...
 
  
 
  

 
  

 
  
修复方案
 
  

 
  
一、请求外援
 
  

 
  
这个地方可让本身的爷爷奶奶或者姥姥姥爷帮忙写一下,不须要本身出马,可是他们通常会按照他们的思路写下他们的想法,通常是直接写”大家在计算机方面比我更懂“,或者写”大家玩手机更厉害“等文案。
 
  

 
  
 
   
推荐方案:
1.大家更懂2.大家最懂3.大家比我更明白
 
  
 
  

 
  
二、通用方案
 
  

 
  
使用上述方法很容易让别人看出来是爷爷奶奶帮忙写的,这个时候你能够教他们一些通用的描述方法,好比”过滤“,虽然只有两个字,可是可以看出来是懂一些安全技术的,或者写”鉴权“,言简意赅但掷地有声,像极了上级领导在审批单子时的批注,使人印象深入、眼前一亮。
 
  

 
  
 
   
推荐方案:
1.过滤2.鉴权3.提升意识
 
  
 
  

 
   
  
漏洞提交
 
  

 
  
在最后提交完漏洞之后,必定记得及时通知审核人员,由于他们天天工做的时候都不会看后台的,通常都是在聊天窗口等待你们的消息。能够提交多个漏洞后统一通知他们,也能够提交多个漏洞时,每提交一个就联系一下他们。还有,联系的时候先不要说你提交的是什么,只用发一个”在干吗呢?“就好,这样作的缘由一个是保持你问题的神秘感,其次还可让他们猜想你的问题,锻炼审核人员的大脑,也被学界称为”量子波动聊天法“。
 
  

 
   
  
最后的最后
 
  

 
  
最后祝愿你们作一个优秀的技术人才,挖更多主流的、有价值的高危漏洞,漏洞报告更上一层漏!
 
  

 
  

 
  
 
   
 
    
 
     
 
      
腾讯 x 掌控安全学院  —  让学习网络安全成为一件简单的事
 
     
 
    
 
   
 
  
 
  
黑客教程~ 课件 靶场 ~  限!时!免费!送!
 
  

 
  
长按识别二维码,便可限时免费报名课程。
 
  
 
  
 
  

 
  
高质量的微信交流群,能够扫描下方二维码
 
  
备注暗号“99”  老师就会把你拉进群哦~
 
  
必须备注~ 没有暗号不予经过~!
 
  

 
  
 
   
 
    

 
    
 
     
 
      
 
       
 
      
 
     
 
    
 
   
 
  
 
  

 
  
记得回来给咱们一个赞哦!
 
  

 
  
 
  
👇阅读原文,查看更多内容。点击在看~支持一下~蟹蟹👇
 
 
 
 
本文分享自微信公众号 - 掌控安全EDU(ZKAQEDU)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。
 



        

            

        	





    

		

            
相关文章

            

                

                

                    

                

            


            
相关标签/搜索

            
        


    

        

            

        

        

        
        

        

        

    




	

    





    

    	

    

        每日一句
    

    
    
    	每一个你不满意的现在,都有一个你没有努力的曾经。
    







    

    


    



    

        本站公众号
    

    

           欢迎关注本站公众号,获取更多信息

        
    




    

    




	


	







    

        联系我们
        最近搜索
        最新文章
        
        沪ICP备13005482号-10

            MyBatis教程
            SQL 教程
            MySQL教程
            Java 教程
            Thymeleaf 教程
            Hibernate教程
            Spring教程 
            Redis教程