了解你的漏洞 - 如何像专业人士一样报告（基于50份报告经验）

我已经提交了50份报告。被拒绝的工单和快速分诊之间的区别不是运气，而是你呈现漏洞的方式。

这是一份简短有力的指南。没有戏剧性，没有炒作。只有有效的方法。

1) 了解你的漏洞 - 它能对用户和公司造成什么影响

不要只报告症状。要了解真正的影响。问问自己：如果这个漏洞被利用，谁会受到伤害？是单个用户、多个用户，还是公司的系统/声誉？清楚地解释这一点。分诊人员没有时间猜测。

应该做： “如果被利用，攻击者可以读取其他用户的私密消息 - 影响机密性和用户信任。” 不要做： “这很糟糕。修复它。”

措辞很重要。谈论对公司的影响，而不是个人责任。将其框定为公司风险，可以保持专业和可操作的基调。

应该做： “此缺陷允许未经授权访问客户数据 - 对公司范围产生影响。” 不要做： “你（所有者）可以窃取用户数据。”

如果他们要求澄清，快速、清晰、礼貌地回复。将分诊人员视为合作者，他们的工作是验证你的发现 - 而不是你必须击败的敌人。

争吵会让你被忽视。相反，帮助他们重现问题。

用你知道自己在说什么的方式写作。清晰、直接的语言表明你理解漏洞及其影响。自信 = 可信度。

应该做： “按照以下步骤在3分钟内可靠地重现。” 不要做： “也许这是一个漏洞，不确定。”

自信不是傲慢 - 它是清晰和对报告的所有权。

不要通过说"这不能做X"来限制分诊人员的思维。即使你认为一个漏洞是有限的，也要避免绝对化。专注于你能展示的内容。

应该做： 展示你测试的确切影响。“我能够使用以下步骤访问账户A和B的会话令牌。” 不要做： “这不能用于接管账户。"（这限制了分诊人员的评估，可能会扼杀报告。）

一个漏洞的价值取决于你解释它的好坏程度。了解影响，为公司构建框架，冷静回答问题，自信地写作，永远不要通过声称它不能做什么来限制你的报告。这样做，你的报告就不再是噪音 - 它们变得有用。

— Viratavi