了解你的漏洞 - 如何像专业人士一样报告（来自50份报告的经验）

我已经提交了50份报告。被拒绝的工单和快速分诊之间的区别不是运气 - 而是你呈现漏洞的方式。

这是一份简短、有力的指南。没有戏剧性。没有炒作。只有有效的方法。

1) 了解你的漏洞 - 它能对用户和公司造成什么影响

不要只报告症状。要了解真正的影响。问自己：如果这个漏洞被利用，谁会受到伤害？是单个用户、多个用户，还是公司的系统/声誉？清楚地解释这一点。分诊人员没有时间猜测。

要做： “如果被利用，攻击者可以读取其他用户的私密消息 - 影响机密性和用户信任。” 不要做： “这很糟糕。修复它。”

措辞很重要。谈论公司影响，而不是个人责任。将其框定为公司风险可以保持专业和可操作的语气。

要做： “此漏洞允许未经授权访问客户数据 - 具有全公司范围的影响。” 不要做： “你（所有者）可以窃取用户数据。”

如果他们要求澄清，快速、清晰、礼貌地回复。将分诊人员视为合作者，其工作是验证你的发现 - 而不是你必须击败的敌人。

争吵会让你被忽视。相反，帮助他们重现问题。

像你知道自己在说什么一样写作。清晰、直接的语言表明你理解漏洞及其影响。自信 = 可信度。

要做： “按照以下步骤可在3分钟内可靠重现。” 不要做： “这可能是一个漏洞，不确定。”

自信不是傲慢 - 它是清晰和对报告的所有权。

不要通过说"这不能做X"来限制分诊人员的思维。即使你认为一个漏洞有限制，也要避免绝对化。专注于你能展示的内容。

要做： 展示你测试的确切影响。“我能够使用以下步骤访问账户A和B的会话令牌。” 不要做： “这不能用于接管账户。"（这给分诊人员的评估设置了上限，可能会扼杀报告。）

一个漏洞的价值取决于你解释它的好坏程度。了解影响，为公司框架化，冷静回答问题，自信地写作，永远不要通过声称它不能做什么来限制你的报告。这样做，你的报告就不再是噪音 - 它们变得有用。

— Viratavi