Q
網(wǎng)站安全實(shí)習(xí)報(bào)告中風(fēng)險(xiǎn)等級(jí)怎么寫才不顯得亂拍?
A
別套CVSS打分表糊弄人。寫清楚這個(gè)漏洞在當(dāng)前網(wǎng)站架構(gòu)里實(shí)際能干什么:能不能拿cookie、能不能刪庫(kù)、會(huì)不會(huì)影響支付。用業(yè)務(wù)后果說話,不是算公式。比如“登錄態(tài)可被劫持”比“CVSS 7.5”有力得多。等級(jí)不是數(shù)字游戲,是告訴老板這玩意兒明天上線會(huì)不會(huì)出事。
推薦寫法
數(shù)據(jù)顯示,有36.6%的用戶認(rèn)為,首選的寫法是用業(yè)務(wù)動(dòng)作定義等級(jí),40.7%%的用戶傾向選擇1700-2100字,而25.3%%的用戶選擇1400-1699字,20.6%%選擇2101-2500字。新手最容易踩的坑是直接粘貼掃描器自動(dòng)評(píng)分,不結(jié)合網(wǎng)站實(shí)際功能解釋危害程度。
高分寫作經(jīng)驗(yàn)
熱門篇幅區(qū)間
新手常犯的誤區(qū)
直接粘貼掃描器自動(dòng)評(píng)分,不結(jié)合網(wǎng)站實(shí)際功能解釋危害程度。
適用對(duì)象
實(shí)習(xí)生、新入職安全工程師、高校網(wǎng)安專業(yè)學(xué)生、駐場(chǎng)技術(shù)支持、外包安全服務(wù)人員
