白帽子必備!漏洞報告提交攻略

時間  2021-01-10
標籤 php html web 面試 安全 微信 markdown 網絡 app 編輯器 欄目 PHP 简体版
原文   原文鏈接


點擊藍字關注咱們👆php

零基礎黑客教程,黑客圈新聞,安全面試經驗html

盡在「掌控安全EDU」web

各大漏洞平臺和SRC百花齊放,可是讓你們頭疼的是,漏洞提交以後老是重複了,究竟怎麼樣才能更快的提交一份漏洞報告呢?面試


本文按照漏洞報告的每一個部分進行細分,提出了很多關鍵性的建設意見,有了這些TIPs相信你可以更加迅速的提交一份漏洞報告。
安全



1、漏洞標題微信


一、使用UC震驚部的祖傳標題。
markdown


在輸入標題的時候不用特別在乎漏洞出現的位置、功能和參數,直接使用一些帶感嘆號的句子就能夠,這樣會顯得漏洞比較文藝且緊急,最後的評級會比較高。網絡


二、隨便輸點什麼便可。app


在輸入標題的時候可讓輸入法稍微放鬆些,一些簡單的詞語不須要太在乎,好比」注入漏洞「、」未受權反問「,這樣會顯得你在提交的時候特別的着急,氣氛更加緊張,顯得漏洞更加緊急,一樣能夠給人留下一個好印象。編輯器

推薦標題:1.嚴重!越權支付他人訂單!!!2.一次說走就走的滲透~^_^~3.發現一個注入問題。



2、漏洞自評


一、別問,問就是嚴重。


不須要參考實際的漏洞內容和評級規則去作選擇,成年人不作選擇,所有填寫」嚴重「就能夠。這沒啥好說的。

 
  
 
   
推薦評級:直接嚴重
 
  
 
  

 
  

 
   
  
3、漏洞詳情
 
  

 
  
一、直擊要害、一步到位
 
  

 
  
描述漏洞的時候不須要按照「網站連接-登陸帳號-功能點-抓包」這樣的步驟詳細書寫,直接寫最關鍵的問題點就好,這樣能最大程度減小你們的提交時間。還能像彩蛋同樣留一個Referer給審覈人員猜想這個頁面到底是從哪一個功能點跳轉過來的,趣味十足。
 
  

 
  
 
   
推薦寫法:
直接burp發送下面的請求包
GET /evhiuhvlsajf.php HTTP/1.1Referer: https://www.google.com/Host: xxx.com
 
  
 
  

 
  
二、截圖大法好,不用提供請求包
 
  

 
  
在抓包階段,不須要提供http請求包,由於還要複製粘貼太慢了,直接快捷鍵截圖,而後放一張圖片你們就都懂了。最好是那種Windows98上截下來的比較模糊的截圖,這樣審覈可能看不清直接就給了高危。
 
  

 
  
 
   
推薦寫法:
如圖<img>
 
  
 
  

 
  
三、不須要使用耗費時間的Markdown格式
 
  

 
  
在報告撰寫的時候,markdown格式就顯得費事了一些,還須要排版,仍是明文的不夠安全,因此咱們推薦的格式是base64。
 
  

 
  
 
   
推薦寫法:
漏洞詳情:ZGFpbWF5b25nbWFya2Rvd254c2h1eGllZ2VuZ2hhb2thbg==
 
  
 
  

 
  
四、擅用形容詞:全、整、全部、百萬
 
  

 
  
在描述的時候嘗試使用一些形容詞,能讓總體的報告顯得通俗易懂,形象立體。
 
  

 
  
 
  
 
   
推薦寫法:
漏洞危害:獲取全站HTML源代碼,整站CSS文件,泄露全部的靜態圖片,代碼行數達百萬
 
  
 
  

 
  
五、巧用轉折句:21天讓報告走向跌宕起伏
 
  

 
  
爲了讓人更好地理解漏洞報告,能夠嘗試一些轉折的句子,既可以完美的表達當時的心境,又可以發揮課上偷偷讀過的小說的文采,讓讀者身臨其境。
 
  

 
  
 
  
 
   
推薦寫法:
這個時候,我一想,嘿,這不就是這個問題嗎!我恍然大悟,仰天長嘯。因而乎,我湊近了電腦,打下了這一行payload...
 
  
 
  

 
  

 
  
修復方案
 
  

 
  
一、請求外援
 
  

 
  
這個地方可讓本身的爺爺奶奶或者姥姥姥爺幫忙寫一下,不須要本身出馬,可是他們通常會按照他們的思路寫下他們的想法,通常是直接寫」大家在計算機方面比我更懂「,或者寫」大家玩手機更厲害「等文案。
 
  

 
  
 
   
推薦方案:
1.大家更懂2.大家最懂3.大家比我更明白
 
  
 
  

 
  
二、通用方案
 
  

 
  
使用上述方法很容易讓別人看出來是爺爺奶奶幫忙寫的,這個時候你能夠教他們一些通用的描述方法,好比」過濾「,雖然只有兩個字,可是可以看出來是懂一些安全技術的,或者寫」鑑權「,言簡意賅但擲地有聲,像極了上級領導在審批單子時的批註,使人印象深入、眼前一亮。
 
  

 
  
 
   
推薦方案:
1.過濾2.鑑權3.提升意識
 
  
 
  

 
   
  
漏洞提交
 
  

 
  
在最後提交完漏洞之後,必定記得及時通知審覈人員,由於他們天天工做的時候都不會看後臺的,通常都是在聊天窗口等待你們的消息。能夠提交多個漏洞後統一通知他們,也能夠提交多個漏洞時,每提交一個就聯繫一下他們。還有,聯繫的時候先不要說你提交的是什麼,只用發一個」在幹嗎呢?「就好,這樣作的緣由一個是保持你問題的神祕感,其次還可讓他們猜想你的問題,鍛鍊審覈人員的大腦,也被學界稱爲」量子波動聊天法「。
 
  

 
   
  
最後的最後
 
  

 
  
最後祝願你們作一個優秀的技術人才,挖更多主流的、有價值的高危漏洞,漏洞報告更上一層漏!
 
  

 
  

 
  
 
   
 
    
 
     
 
      
騰訊 x 掌控安全學院  —  讓學習網絡安全成爲一件簡單的事
 
     
 
    
 
   
 
  
 
  
黑客教程~ 課件 靶場 ~  限!時!免費!送!
 
  

 
  
長按識別二維碼,便可限時免費報名課程。
 
  
 
  
 
  

 
  
高質量的微信交流羣,能夠掃描下方二維碼
 
  
備註暗號「99」  老師就會把你拉進羣哦~
 
  
必須備註~ 沒有暗號不予經過~!
 
  

 
  
 
   
 
    

 
    
 
     
 
      
 
       
 
      
 
     
 
    
 
   
 
  
 
  

 
  
記得回來給咱們一個贊哦!
 
  

 
  
 
  
👇閱讀原文,查看更多內容。點擊在看~支持一下~蟹蟹👇
 
 
 
 
本文分享自微信公衆號 - 掌控安全EDU(ZKAQEDU)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。
 



        

            

        	





    

		

            
相關文章

            

                

                

                    

                

            


            
相關標籤/搜索

            
        


    

        

            

        

        

        
        

        

        

    




	

    





    

    	

    

        每日一句
    

    
    
    	每一个你不满意的现在,都有一个你没有努力的曾经。
    







    

    


    



    

        本站公眾號
    

    

           歡迎關注本站公眾號,獲取更多信息

        
    




    

    




	


	







    

        聯繫我們
        最近搜索
        最新文章
        
        沪ICP备13005482号-10

            MyBatis教程
            SQL 教程
            MySQL教程
            Java 教程
            Thymeleaf 教程
            Hibernate教程
            Spring教程 
            Redis教程