如何写一篇合格的漏洞报告

1 为什么要写一篇合格的漏洞报告?

逆向思维,当不合格的报告写多了会出现以下情况:

  1. 审核看到你的ID就烦,假如你是审核你烦不烦
  2. 你的报告总是审核的比别人慢,而且忽略的概率比别人高
  3. 当你过几个月再去看自己的漏洞报告发现自己都看不懂,没法复盘

2 合格的漏洞报告包含哪些元素?

  1. 漏洞标题
  2. 漏洞简述
  3. 漏洞复现
  4. 修复建议
  5. 利用poc

2.1 漏洞标题模板

(1) XX游戏论坛-用户登录处-短信验证码发送功能存在短信轰炸漏洞

(2) XX书店集团有限公司域名-退出登录处存在url跳转漏洞

(3) xx企业管理系统-安全管理功能-增加管理员处存在垂直越权漏洞

2.2 漏洞简述

简单表达下是什么漏洞(后面chatgpt会讲)

举例spf: xxx集团有限公司域名-存在spf邮件伪造漏洞,由于该域名邮箱是xxx集团有限公司使用的邮箱地址,所以攻击者可以假装成任何xxx有限公司的邮箱 xx@xxxx.cn 对被攻击者进行钓鱼攻击等。

2.3 漏洞复现

(1) 浏览器访问: xxx.xxx.com

[截图]

注意说明清楚来源,例如某个APP的漏洞,需要说明在哪个软件平台搜索下载的,什么版本,测试用的手机信息等。

(2) 点击短信验证位置如下:

[截图]

(3) 输入手机号,点击发送短信进行抓包:

[截图]

敏感信息注意打码,特别是手机号,可能会被致电询问修复建议或找麻烦。

(4) 数据包如下:

[截图]+[文本请求包]

(5) 进行并发:

(6) 手机号收到大量验证码:

[手机验证码截图]

2.4 修复建议

直接ChatGPT等AI工具生成。

3 利用好ChatGPT让写报告不再成为问题

举例越权

漏洞危害:

问:我发现了一个网站存在垂直越权漏洞,请帮我写一下这个漏洞的危害。

漏洞简述:

问:帮我简单描述一下垂直越权漏洞。

修复建议:

问:写出这个漏洞的修复建议。

写的报告一定要以普通非安全工程师也能看懂为基准。

本篇文章内容来自于网络