admin 上个月帮学弟提交某公益SRC漏洞时,他对着提交页面愣了半天,最后憋出一句:“这漏洞描述咋写啊?截图要不要打码?”结果材料被打回三次——不是漏了复现步骤,就是忘了风险评级依据。今天我就用补天平台的实战案例,拆解公益漏洞提交的隐形规则,尤其这三个新手最容易翻车的坑。
一、为什么你的漏洞总被“打回重修”?
公益SRC审核员私下跟我吐槽:70%的提交材料像半成品。最典型的比如:
- 截图缺关键信息:只拍漏洞弹窗,漏了浏览器URL栏(证明非本地环境);
- 风险评级拍脑袋:把敏感信息泄露标成“高危”,实际中危更合理;
- 复现步骤跳步:假设审核员懂技术,直接写“payload见附件”。
去年某高校学生提交教育系统漏洞时,因漏截权限验证环节,被误判“无法复现”。后来补了带Cookies的请求包截图+系统时间水印才通过。
二、漏洞描述:这样写审核员追着发奖金
别学官方文档的“请描述漏洞细节”——说人话才能速过审。根据我的经验,按这个结构填:
- 第一句定性质:
❌ “发现一个SQL注入”
✅ “xx市社保系统身份证参数存在时间盲注,可脱库全市人员信息” - 用对比法说明危害:
低危:能查自己密码
中危:可查全校学生信息(附200条样本截图)
高危:直接进服务器(附/etc/passwd文件) - 提权漏洞加一句:“已控制后停止测试,未触碰业务数据”——显专业又守规矩。
参考CVE描述模板,但删掉学术术语。去年某白帽用这方法,三天连过5个中危漏洞。
三、提交流程暗藏的时间陷阱
很多人以为提交完坐等收钱,其实卡在三个节点:
- 初审排队:
工作日上午提交>周末提交(审核量差3倍) - 企业确认期:
政企系统平均确认7天,互联网公司2天内(选平台时留意) - 奖金发放:
小额微信秒到,超5千要填税表(留好身份证扫描件)
⚠️ 特别注意:补天平台漏洞公开选项默认勾选,不想被黑客“借鉴”记得手动取消。
给新手的两个反常识建议
-
别死磕高危漏洞
刚入行时我沉迷挖RCE(远程代码执行),结果三个月颗粒无收。后来转攻逻辑漏洞:- 订单金额篡改(测试账户支付0.01元买高价商品)
- 越权查看他人病历/合同
这类漏洞占公益SRC收录量的60%,审核快且竞争小。
-
注册选“非热门平台”
像教育行业的EDUSRC、医疗行业的“护网”平台,比综合型平台缺人手,审核标准更宽松。某医学生首次提交病历系统越权漏洞,3小时就拿到奖金。
最后说点真心话
公益SRC本质是企业买“安全情报”,所以报告得像产品说明书——让外行也能看懂风险。下次提交前记住三个动作:
- 录屏用Screen2Exe(自动打码敏感信息)
- 漏洞描述套“场景+危害+证据”公式
- 优先投递地方政务/垂直行业平台
如果被退稿,直接私信审核员问具体原因。我见过最较真的白帽改了11稿,但单笔奖金拿了8万。坚持住,你的漏洞值得被认真对待。