优秀的报告标准
漏洞标题
标题描述:标题可简明扼要说明问题,描述语言规范化。如“testasp.vulnweb.com站showforum.asp请求存在SQL注入漏洞”“testasp.vulnweb.com站查看订单处存在越权漏洞”
基本信息
漏洞类型:填写信息准确无误
漏洞等级:填写信息准确无误
厂商信息:填写信息准确无误
漏洞描述
漏洞简述:包含漏洞概述,漏洞危害
漏洞正文
漏洞复现过程:复现过程完整,无需二次沟通或补充数据
分步骤图文描述:有详细的漏洞复现步骤、测试步骤,并每个步骤配有图文描述。平台、厂商可根据描述一次性完成漏洞复测
漏洞危害证明:漏洞危害证明完整,无误
URL及重要参数:URL及重要参数完整,无误
格式排版、专业术语:格式排版规范;无病句错别字;描述用语专业化,规范化
修复建议
漏洞修复建议:修复建议对开发有较大实用性,如修复思路,修复代码样式,伪代码等
良好的报告标准
漏洞标题
标题描述:标题可基本概括漏洞情况,描述语言缺乏规范性。如“一处注入漏洞”“另外一处注入”“网站某处存在越权”
基本信息
漏洞类型:填写信息准确无误
漏洞等级:填写信息准确无误
厂商信息:填写信息准确无误
漏洞描述
漏洞简述:包含漏洞概述
漏洞正文
漏洞复现过程:复现过程基本完整,个别地方描述不清或缺少数据,对漏洞评估、复现有一定影响
分步骤图文描述:关键测试步骤完整,但复现步骤缺失,对漏洞复现有一定影响。如直接粘贴出漏洞利用请求包,但缺乏测试步骤如何获取此请求包,需要二次沟通方才可复现
漏洞危害证明:漏洞危害证明基本完整
URL及重要参数:URL及重要参数基本完整
格式排版、专业术语:格式排版不影响正常阅读;个别病句错别字;描述用语较为规范化
修复建议
漏洞修复建议:修复建议基本无误,但过于简单,无实际参考意义。如“控制权限”,“过滤参数”,“校验身份”
较差的报告标准
漏洞标题
标题描述:标题描述不清;与漏洞详情不符;夸大漏洞级别及危害
基本信息
漏洞类型:填写信息准确无误
漏洞等级:填写信息准确无误
厂商信息:填写信息准确无误
漏洞描述
漏洞简述:无效的漏洞描述,如“RT”,“请看详情”
漏洞正文
漏洞复现过程:复现过程关键步骤缺失,影响正常的漏洞评估、复现
分步骤图文描述:无测试步骤;无文字描述,直接粘贴截图。对漏洞评估、复现、修复工作产生较大影响。
漏洞危害证明:无有效漏洞危害证明或主管臆断危害。
URL及重要参数:缺少关键URL,核心参数,影响复现
格式排版、专业术语:格式排版混乱,影响正常阅读;出现较多的病句,错别字;过于口语化、网络化用语,如“你懂的”
修复建议
漏洞修复建议:无意义或错误的修复建议。如“不知道”,“你懂的”,“问开发”,“修复”