INFO5995 Task 5 —
证据收集与报告撰写规范
证据收集原则
完整证据链(Chain of
Evidence)
一条合格的证据链必须包含:
- 发现阶段:
你是如何找到这个漏洞的(工具、路径、参数)
- 验证阶段:
证明漏洞确实存在(请求/响应、截图、录屏)
- 影响阶段:
证明漏洞有实际危害(数据获取、功能绕过、权限提升)
- 复现阶段:
第三方可按照步骤复现(环境、前提条件、详细步骤)
证据类型优先级
| 类型 |
价值 |
适用场景 |
| 录屏(Screen Recording) |
⭐⭐⭐ 最高 |
完整操作过程 |
| HTTP 请求/响应导出 |
⭐⭐⭐ 最高 |
技术细节验证 |
| 截图(带时间戳/URL) |
⭐⭐⭐ 高 |
关键状态证明 |
| 终端命令输出 |
⭐⭐ 中 |
工具扫描结果 |
| 文字描述 |
⭐ 低 |
仅作补充说明 |
截图规范
必须包含的信息
截图命名规范
YYYY-MM-DD_[目标]_[漏洞类型]_[序号].png
例: 2025-03-15_example-com-xss-reflected-01.png
|
HTTP 请求记录
Burp Suite 导出
- 右键请求 → "Save item" → 保存为 XML 或 JSON
- 包含:请求头、请求体、响应头、响应体
cURL 复现命令
curl -X POST "https://example.com/api/login" \
-H "Content-Type: application/json" \
-d '{"username":"admin","password":"\' OR \'1\'=\'1"}' \
-v
|
报告撰写结构
标准 Bug Bounty 报告格式
# [标题] — [目标] [漏洞类型]
## 基本信息
- **提交者**: [姓名 / 团队]
- **目标**: [程序名/域名]
- **漏洞类型**: [CWE-ID / 常见名称]
- **严重性**: [平台标签 / CVSS 分数]
- **发现日期**: YYYY-MM-DD
## 漏洞摘要
[1-2 句话描述:什么错了,影响是什么]
## 技术细节
### 受影响端点/组件
[URL、文件、函数名]
### 根本原因
[代码、配置或设计层面的问题]
### 复现步骤
1. [第一步]
2. [第二步]
3. [第三步]
### 概念验证(PoC)
|
[具体请求/命令/代码]
### 实际影响
[攻击者能做什么,影响范围]
## 修复建议
[具体、可执行的修复方案]
## 证据附件
- [截图1: 描述]
- [截图2: 描述]
- [录屏: 链接/文件名]
|
Presentation 准备(5 分钟)
时间分配建议
| 部分 |
时间 |
内容 |
| 目标介绍 |
30s |
是什么程序,为什么选它 |
| 发现过程 |
60s |
怎么找到的,用了什么方法 |
| 漏洞演示 |
90s |
展示 PoC,证明存在 |
| 影响论证 |
60s |
严重性映射,影响范围 |
| 新颖性/修复 |
60s |
Type 1 vs Type 2,修复建议 |
| 总结 |
20s |
关键教训 |
Q&A 防御准备
预判问题清单: - [ ] "你如何确认这是 in-scope 的?" → 展示 Scope 截图
- [ ] "这个漏洞是零日吗?" → 展示搜索记录 - [ ] "影响范围有多大?" →
给出数据/用户量估算 - [ ] "修复建议具体怎么实施?" → 准备代码/config
示例 - [ ] "你怎么证明这不是误报?" → 多次复现的视频/截图 - [ ]
"团队成员各自贡献了什么?" → activity log 对应
提交前检查清单