安全同学把漏洞转给研发的时候需要提供啥信息
- title 漏洞名,例如 reflected xss 反射型xss
- 严重级别
- 描述,简单描述下这个漏洞是啥
- 复现步骤,简单介绍如何复现这个问题,可能的话提供一小段poc
- 影响,这个漏洞能带来什么影响和危害
- 修复,如何修复这个问题
- 影响的资产,列出可能受影响的urls
一般来说严重级别serverity会进行分类,
以下是个分类的参考
- informational 没有真正的影响
- low 业务影响很小
- medium 可能有潜在的影响,但不会泄漏数据
- high,可能泄漏用户数据
- critical 高风险,可能泄漏用户数据/敏感信息。可能影响整个系统或者对公司的业务产生影响