寻找漏洞通知邮件模板 - Hacker Connect - @disclose_io 社区论坛

Sawaba
2023年6月1日 晚上8:54

大家好！
我不想随意处理，所以想问问是否有推荐的通知SaaS/云供应商其产品中存在漏洞的邮件模板。我搜索了一下，找到了一些例子，但并不是我想要的。
特别是关于确认接收的期望，大家通常会在初次沟通中说明吗（例如“请在7天内确认接收”）？
提前感谢！

1 赞

disclose
2023年6月23日 上午12:45

ChatGPT 4.0 提供了一个相当不错的回复：
你好！在通知SaaS/云供应商其产品中存在漏洞时，清晰且专业地沟通非常重要。这有助于确保供应商理解问题并能够适当响应。
以下是一个建议的模板，你可以根据需要修改：

主题： [产品名称] 的漏洞报告
尊敬的[供应商名称]，
希望此消息传达顺利。我的名字是[你的名字]，我是[你的职业/角色]。在我的工作过程中，我发现了贵公司产品[产品名称]中的一个潜在安全漏洞。我觉得直接通知您这个问题非常重要，以确保产品的安全性和完整性。
以下是漏洞的详细信息：

• 漏洞摘要： [提供漏洞的简要描述。这应该是一个清晰、简洁的总结，任何人都能理解。]
• 技术细节： [描述漏洞的技术细节。解释如何利用它、潜在影响以及其他相关信息。]
• 复现步骤： [提供逐步复现漏洞的指南。这有助于供应商验证漏洞并测试任何修复。]
• 潜在影响： [描述漏洞对供应商客户或业务的潜在影响。]
• 建议修复措施： [如果你有任何修复漏洞的建议，请在这里提供。]

请理解，我的意图仅仅是提高贵公司产品的安全性并保护用户。我尚未将此漏洞披露给任何第三方，并期望首先与您协调任何此类行动。
我恳请您在[天数，通常7天是可接受的]天内确认接收此消息，以确认您已意识到问题并正在采取措施解决它。
我非常愿意根据需要提供更多信息或协助。请随时通过[你的电子邮件地址]与我联系。
感谢您对此事的关注。
此致，
你的名字

关于你关于确认接收期望的问题，确实常见做法是指定接收方确认报告的时间范围。这确保了报告已被接收并正在审查中。七天是一个常用的时间范围，但这可能因漏洞的严重性和供应商的标准响应时间而异。