Day-4 如何将4.4分漏洞提升至9.8分CVSS评分——演示技巧的力量

好吧，我知道你是因为这个标题才点进来的。那我们就不浪费时间，直接开始吧。

[点击回车或查看完整图片]

你发现了一个漏洞，觉得它没什么大不了的……低严重性，不值得大惊小怪？不，你错了。让我给你讲讲我的故事。

那只是一个平常的下午两点，我正在随意测试一些东西（像往常一样）。突然，我偶然发现了一个漏洞。没什么花哨的，没有爆炸性的利用。只是一个无聊的小输入字段验证问题。

现在大多数人可能会这样： “呃，影响不大。” 在报告里写上“输入验证错误”。 提交。完成。

但我来这里不是为了做“大多数人”。

第一步：像公司一样思考

如果你真的想让你的漏洞脱颖而出，就要戴上公司老板的帽子。 问：如果有人疯狂利用这个漏洞，它实际上能做什么？

在我的案例中，那个小漏洞可以：

• 激增服务器使用量（翻译：公司要花更多钱）。
• 可能导致潜在的DDoS攻击。
• 浪费用户时间，延迟登录，甚至可能损害对产品的信任。

突然之间，那个“无聊的漏洞”看起来不再那么无聊了。

第二步：我的做法

以下是我所做的：

• 影响优先：以“如果被滥用会发生什么”开始报告，而不是“这只是一个输入漏洞”。
• 影响范围：我展示了这个漏洞实际能波及多远。用数字说话，不仅仅是文字。
• 证据：提供了清晰的截图和干净的日志。没有混乱的转储，不需要排查人员做侦探工作。
• 商业角度：将漏洞转化为对金钱、用户和正常运行时间的影响。
• CVSS计算：写出了完整的向量并解释了每个指标——没有猜谜游戏。

是的，这就是一个4.4分的漏洞如何变成9.8分漏洞的过程。

不要做的事情

以下是许多漏洞猎人搞砸的地方：

• 不要在漏洞报告中使用像本文这样随意的语气。Medium是用来营造氛围的。公司希望报告正式且枯燥。
• 不要声称诸如“这能炸掉整个服务器”之类的夸张内容。如果你这样做了，忘记漏洞吧——你唯一会看到的爆炸是你未来的赏金烟消云散。
• 不要浪费时间写漏洞不能做什么。没人在乎。
• 不要让排查人员猜测。总是要 spoon-feed 他们确切的步骤和证据。

基本上：Medium = 个性。报告 = 专业性。

真正的教训

漏洞本身不是金子。讲故事的方式才是。你呈现漏洞的方式，决定了结果是得到一句“呃，谢谢”还是“哦，该死，高严重性”。

所以，是的，像专业人士一样记录，把你的语气留给博客，并永远记住： 一个漏洞的大小取决于你如何呈现它（用真相，而不是谎言）。

因为在黑客世界里，好奇心是王道——而塑料（指有缺陷的系统）总是等着被打破。

第五天见。 — Viraat