各大漏洞平台和SRC百花齐放，但是让大家头疼的是，漏洞提交之后总是重复了，究竟怎么样才能更快的提交一份漏洞报告呢？本文按照漏洞报告的每个部分进行细分，提出了不少关键性的建设意见，有了这些TIPs相信你能够更加迅速的提交一份漏洞报告。

一、漏洞标题

1、使用UC震惊部的祖传标题。

在输入标题的时候不用特别在意漏洞出现的位置、功能和参数，直接使用一些带感叹号的句子就可以，这样会显得漏洞比较文艺且紧急，最后的评级会比较高。

2、随便输点什么即可。

在输入标题的时候可以让输入法稍微放松些，一些简单的词语不需要太在意，比如”注入咯东“、”未授权反问“，这样会显得你在提交的时候特别的着急，气氛更加紧张，显得漏洞更加紧急，同样可以给人留下一个好印象。

推荐标题：

1.严重！越权支付他人订单！！！
2.一次说走就走的渗透~^_^~
3.发向一个注入问题。

二、漏洞自评

1、别问，问就是严重。

不需要参考实际的漏洞内容和评级规则去做选择，成年人不做选择，全部填写”严重“就可以。这没啥好说的。

推荐评级：

直接严重

三、漏洞详情

1、直击要害、一步到位

描述漏洞的时候不需要按照「网站链接-登录账号-功能点-抓包」这样的步骤详细书写，直接写最关键的问题点就好，这样能最大程度减少大家的提交时间。还能像彩蛋一样留一个Referer给审核人员猜测这个页面究竟是从哪个功能点跳转过来的，趣味十足。

推荐写法：

直接burp发送下面的请求包

GET /evhiuhvlsajf.php HTTP/1.1
Referer: https://www.google.com/
Host: xxx.com

2、截图大法好，不用提供请求包

在抓包阶段，不需要提供http请求包，因为还要复制粘贴太慢了，直接快捷键截图，然后放一张图片大家就都懂了。最好是那种Windows98上截下来的比较模糊的截图，这样审核可能看不清直接就给了高危。

推荐写法：

如图
<img>

3、不需要使用耗费时间的Markdown格式

在报告撰写的时候，markdown格式就显得费事了一些，还需要排版，还是明文的不够安全，所以我们推荐的格式是base64。

推荐写法：

漏洞详情：ZGFpbWF5b25nbWFya2Rvd254c2h1eGllZ2VuZ2hhb2thbg==

4、擅用形容词：全、整、所有、百万

在描述的时候尝试使用一些形容词，能让整体的报告显得通俗易懂，形象立体。

推荐写法：

漏洞危害：获取全站HTML源代码，整站CSS文件，泄露所有的静态图片，代码行数达百万

5、巧用转折句：21天让报告走向跌宕起伏

为了让人更好地理解漏洞报告，可以尝试一些转折的句子，既能够完美的表达当时的心境，又能够发挥课上偷偷读过的小说的文采，让读者身临其境。

推荐写法：

这个时候，我一想，嘿，这不就是这个问题吗！
我恍然大悟，仰天长啸。
于是乎，我凑近了电脑，打下了这一行payload...

修复方案

1、请求外援

这个地方可以让自己的爷爷奶奶或者姥姥姥爷帮忙写一下，不需要自己出马，但是他们一般会按照他们的思路写下他们的想法，一般是直接写”你们在计算机方面比我更懂“，或者写”你们玩手机更厉害“等文案。

推荐方案：

1.你们更懂
2.你们最懂
3.你们比我更明白

2、通用方案

使用上述方法很容易让别人看出来是爷爷奶奶帮忙写的，这个时候你可以教他们一些通用的描述方法，比如”过滤“，虽然只有两个字，但是能够看出来是懂一些安全技术的，或者写”鉴权“，言简意赅但掷地有声，像极了上级领导在审批单子时的批注，令人印象深刻、眼前一亮。

推荐方案：

1.过滤
2.鉴权
3.提高意识

漏洞提交

在最后提交完漏洞以后，一定记得及时通知审核人员，因为他们每天工作的时候都不会看后台的，一般都是在聊天窗口等待大家的消息。可以提交多个漏洞后统一通知他们，也可以提交多个漏洞时，每提交一个就联系一下他们。还有，联系的时候先不要说你提交的是什么，只用发一个”在干嘛呢？“就好，这样做的原因一个是保持你问题的神秘感，其次还可以让他们猜测你的问题，锻炼审核人员的大脑，也被学界称为”量子波动聊天法“。

最后的最后

最后祝愿大家做一个优秀的技术人才，挖更多主流的、有价值的高危漏洞，漏洞报告更上一层漏！

(本文不针对任何个人或团体，纯属娱乐，请勿对号入座，如有冒犯，请趁着气头提交漏洞：https://xianzhi.aliyun.com/)