说明：

1. 本规范用于规范白帽子提交漏洞的格式要求；

2. 提交漏洞需要按本规范要求填写，您提交漏洞报告的规范性可能会影响最终评分，漏洞证明清晰的适当加分，反之减分。

一、漏洞名称

1. 漏洞名称应明确说明漏洞所在业务、漏洞类型等信息，避免使用【平安某接口】、【平安某业务】、【平安某站】、【平安】等泛指的词；

2. 若不确定漏洞所属的业务是什么，请使用域名或IP等代替；

3. 漏洞标题中不需要写影响的内容、影响的范围等。如避免使用标题【XXX漏洞泄露用户X条敏感信息（含姓名、电话、卡号）】等，此类信息请在漏洞详情中写明； 

举例：

《平安首页搜索功能反射型XSS漏洞》

《xxx.pingan.com springboot接口泄露用户敏感信息》

《平安xx平台地址簿存越权查看漏洞》

二、漏洞类型

1. 漏洞类型请按真实漏洞类型选择；

2. 对于漏洞类型确实不明确的，请先确定漏洞大类，再选择相应小类里的「其他」；

3. 若漏洞是由若干漏洞组合利用的，请选择其中最主要问题的漏洞类型；

三、漏洞等级

漏洞等级会直接影响漏洞影响强度，虚标高漏洞等级会消耗大量人力物力资源响应漏洞，请严格按漏洞危害选择相应漏洞等级。

四、漏洞URL

Web类漏洞需要提供漏洞URL，漏洞URL应当为漏洞最关键部分的URL，如存储XSS的输入或输出点页面URL、SQL注入点的URL、POST型反射XSS的目标URL等。URL需要是完整的链接，不能仅写主域名。

举例：

反射型XSS：https://www.xxx.com/foo/bar?alice=

GET型CSRF：https://www.xxx.com/update/profile?name=test

五、漏洞详情

原则：

1. 尽可能提供足够的信息，如无特殊必要情况，所有信息能直接提供在漏洞详情的请直接在漏洞详情填写，请勿仅提供简单描述+文档/视频等方式提交漏洞详情；

2. 准确、客观的描述漏洞的来源，漏洞出现的位置、测试步骤、PoC/EXP、影响大小等，并提供关键步骤的截图、利用成功的截图、视频等（视频等信息仅做为漏洞详情的补充说明，不能只提供视频）；测试步骤和POC必须填写完整。漏洞利用点：客户端漏洞需要提供准确的漏洞代码位置，包括包名、类名、关键部位代码问题说明。如果是非代码类的，业务操作相关的漏洞，需要明确说明功能入口；

3. 客户端漏洞需要提供存在问题的客户端、版本号，特殊渠道下载的包请说明下载来源；

4. 接口类URL上的漏洞请同时提供调用此接口的业务页面URL；需要前置步骤或前置权限的，请一并说明，如有Referer校验的URL需要提供前置的测试步骤；

5. 非常见的漏洞类型请额外提供漏洞原理、成因、修复方案等，并附上参考资料链接；常见的漏洞无需提供漏洞上述信息。

6. 漏洞关键步骤为HTTP POST的，请在漏洞详情正文最后提供完成的POST包，如SQL注入、越权等漏洞。HTTP头中的Cookie字段的值可置空，但需要留有Cookie字段名。若为文件上传类等漏洞，请把包中文件内容字段置空以减少内容大小；

部分漏洞详情额外要求说明：

1. POST型CSRF等：请提供PoC、漏洞所在页面URL；

2. 存储型XSS：请提供输入点所在页面URL、输入点字段名、Payload、输出点URL、输出点具体位置的截图说明，如果触发路径较长，需同时提供触发方式；

3. SQL注入漏洞：请提供注入点URL所在页面URL（如果有）、注入点URL、注入成功后的截图；

4.有账号认证的应用需提供漏洞测试时所使用的账号名信息。 

六、结语

漏洞报告的完整性规范性对漏洞的价值体现有着重要的影响，漏洞内容清晰、完整、规范有助于工作人员快速定位、验证和修复漏洞。感谢各位白帽子的理解与支持！