搜索
    Hi~登录注册
    查看: 245|回复: 3
    收起左侧

    【经验总结】如何更快的提交一份漏洞报告

    [复制链接]

    69

    主题

    2

    精华

    31 小时

    在线时间

    注册会员

    Rank: 2

    积分
    119
    发表于 2019-10-29 16:22:20 | 显示全部楼层 |阅读模式

    最近忙着刷漏洞排名在网上找寻的一套方法,分享给大家,各大漏洞平台和SRC百花齐放,但是让大家头疼的是,漏洞提交之后总是重复了,究竟怎么样才能更快的提交一份漏洞报告呢?本文按照漏洞报告的每个部分进行细分,提出了不少关键性的建设意见,有了这些TIPs相信你能够更加迅速的提交一份漏洞报告。

    一、漏洞标题

    1、使用UC震惊部的祖传标题。

    在输入标题的时候不用特别在意漏洞出现的位置、功能和参数,直接使用一些带感叹号的句子就可以,这样会显得漏洞比较文艺且紧急,最后的评级会比较高。

    2、随便输点什么即可。

    在输入标题的时候可以让输入法稍微放松些,一些简单的词语不需要太在意,比如”注入咯东“、”未授权反问“,这样会显得你在提交的时候特别的着急,气氛更加紧张,显得漏洞更加紧急,同样可以给人留下一个好印象。

    推荐标题:
    
    1.严重!越权支付他人订单!!!
    2.一次说走就走的渗透~^_^~
    3.发向一个注入问题。

    二、漏洞自评

    1、别问,问就是严重。

    不需要参考实际的漏洞内容和评级规则去做选择,成年人不做选择,全部填写”严重“就可以。这没啥好说的。

    推荐评级:
    
    直接严重

    三、漏洞详情

    1、直击要害、一步到位

    描述漏洞的时候不需要按照「网站链接-登录账号-功能点-抓包」这样的步骤详细书写,直接写最关键的问题点就好,这样能最大程度减少大家的提交时间。还能像彩蛋一样留一个Referer给审核人员猜测这个页面究竟是从哪个功能点跳转过来的,趣味十足。

    推荐写法:
    
    直接burp发送下面的请求包
    
    GET /evhiuhvlsajf.php HTTP/1.1
    Referer: https://www.google.com/
    Host: xxx.com

    2、截图大法好,不用提供请求包

    在抓包阶段,不需要提供http请求包,因为还要复制粘贴太慢了,直接快捷键截图,然后放一张图片大家就都懂了。最好是那种Windows98上截下来的比较模糊的截图,这样审核可能看不清直接就给了高危。

    推荐写法:
    
    如图
    

    3、不需要使用耗费时间的Markdown格式

    在报告撰写的时候,markdown格式就显得费事了一些,还需要排版,还是明文的不够安全,所以我们推荐的格式是base64。

    推荐写法:
    
    漏洞详情:ZGFpbWF5b25nbWFya2Rvd254c2h1eGllZ2VuZ2hhb2thbg==

    4、擅用形容词:全、整、所有、百万

    在描述的时候尝试使用一些形容词,能让整体的报告显得通俗易懂,形象立体。

    推荐写法:
    
    漏洞危害:获取全站HTML源代码,整站CSS文件,泄露所有的静态图片,代码行数达百万

    5、巧用转折句:21天让报告走向跌宕起伏

    为了让人更好地理解漏洞报告,可以尝试一些转折的句子,既能够完美的表达当时的心境,又能够发挥课上偷偷读过的小说的文采,让读者身临其境。

    推荐写法:
    
    这个时候,我一想,嘿,这不就是这个问题吗!
    我恍然大悟,仰天长啸。
    于是乎,我凑近了电脑,打下了这一行payload...

    修复方案

    1、请求外援

    这个地方可以让自己的爷爷奶奶或者姥姥姥爷帮忙写一下,不需要自己出马,但是他们一般会按照他们的思路写下他们的想法,一般是直接写”你们在计算机方面比我更懂“,或者写”你们玩手机更厉害“等文案。

    推荐方案:
    
    1.你们更懂
    2.你们最懂
    3.你们比我更明白

    2、通用方案

    使用上述方法很容易让别人看出来是爷爷奶奶帮忙写的,这个时候你可以教他们一些通用的描述方法,比如”过滤“,虽然只有两个字,但是能够看出来是懂一些安全技术的,或者写”鉴权“,言简意赅但掷地有声,像极了上级领导在审批单子时的批注,令人印象深刻、眼前一亮。

    推荐方案:
    
    1.过滤
    2.鉴权
    3.提高意识

    漏洞提交

    在最后提交完漏洞以后,一定记得及时通知审核人员,因为他们每天工作的时候都不会看后台的,一般都是在聊天窗口等待大家的消息。可以提交多个漏洞后统一通知他们,也可以提交多个漏洞时,每提交一个就联系一下他们。还有,联系的时候先不要说你提交的是什么,只用发一个”在干嘛呢?“就好,这样做的原因一个是保持你问题的神秘感,其次还可以让他们猜测你的问题,锻炼审核人员的大脑,也被学界称为”量子波动聊天法“。

    最后的最后

    最后祝愿大家做一个优秀的技术人才,挖更多主流的、有价值的高危漏洞,漏洞报告更上一层漏!

    回复

    使用道具 举报

    0

    主题

    0

    精华

    24 小时

    在线时间

    新手上路

    Rank: 1

    积分
    12
    发表于 2019-11-6 09:13:20 | 显示全部楼层
    hahahah,处处透露着UC编辑部的精髓,很强,学习到了
    回复 支持 反对

    使用道具 举报

    69

    主题

    2

    精华

    31 小时

    在线时间

    注册会员

    Rank: 2

    积分
    119
     楼主| 发表于 2019-11-7 20:56:57 | 显示全部楼层
    食肉者 发表于 2019-11-6 09:13 AM
    hahahah,处处透露着UC编辑部的精髓,很强,学习到了

    这样才能拿到工资,要恰饭的嘛
    回复 支持 反对

    使用道具 举报

    游客
    回复
    您需要登录后才可以回帖 登录 | 获取账号

    快速回复 返回顶部 返回列表