文章总结： 本文通过实际案例探讨SRC漏洞报告中常见问题，指出高质量报告的核心在于清晰表达而非技术难度。关键要点包括：提供完整复现步骤避免审核猜测、使用前后对比截图直观展示漏洞、保持逻辑连贯避免流水账、用通俗语言代替专业术语。文章强调漏洞提交的成功率取决于将发现转化为他人可理解验证的能力，并建议安全人员重视报告撰写、复现演示等沟通技能。 综合评分： 85 文章分类： SRC活动,实战经验,安全意识,安全培训,漏洞分析

猫猫周报 Vol.09|如何写出高质量报告

原创

猫猫 猫猫

隐雾安全

2026年5月19日 09:03 四川

在小说阅读器读本章

去阅读

摘要

这一周，猫猫发现了一件特别有意思的事情。 有些师傅： * 漏洞不一定最多 * 技术不一定最强 但提交的报告，通过率特别高。 而有些人明明漏洞没问题，却总是： * 被打回 * 被要求补充材料 * 甚至直接不给过 后来这几天看大家的报告看多了，猫猫突然发现：

很多人不是“不会挖漏洞”，而是“不会写漏洞”。

为什么我的报告总不过？

这周有位师傅，私聊发来一个漏洞。 其实漏洞本身挺普通的，就是个接口越权。 但他发来的第一版报告，大概长这样：

说实话。 看完第一反应是：

“哥们，你这提交上去，审核估计都不知道你在说啥……” 因为整个报告就属于： * 自己知道自己发现了什么 * 但别人完全看不懂

后来帮他重新整理了一下： * 补了完整复现流程 * 增加了请求包对比 * 把影响范围写清楚 * 重新整理截图顺序 结果重新提交之后，直接通过了。 漏洞没变。 但结果完全不一样。

所以猫猫这周特别想聊聊：

到底什么样的报告，通过率最高？

其实很多人会误以为：

“漏洞越牛，越容易过。”

但真实情况是：

审核每天要看非常多报告。

一个真正容易通过的报告，最重要的不是“炫技”。 而是：

让人看得舒服。

什么叫“看得舒服”？

其实就几个特别简单的点。

第一：别让审核猜

这是新手最容易犯的问题。 比如：

• 不写复现步骤
• 不说怎么发现的
• 截图东一张西一张
• 参数怎么改的也不写

最后审核看完：

“所以你到底怎么复现的？”

很多人写报告像在玩“大家来找茬”。 但问题是：

审核不是来解谜的。

你要做的是：

让一个完全不了解漏洞的人，也能跟着你一步一步复现出来。

第二：截图一定要有“对比”

这个特别重要。 很多人喜欢直接甩一张：

“看！拿到数据了！”

但问题是： 审核根本不知道：

• 你本来该不该看到这些数据
• 这个数据是不是你自己的
• 这个请求到底哪里有问题

所以真正高通过率的报告，基本都会有：

• 正常情况
• 修改后的情况
• 前后对比

比如：

这种一对比，审核一眼就懂了。

第三：别把报告写成“流水账”

有些报告真的会看到人头晕。 比如：

• 截图十几张
• 没重点
• 没顺序
• 一会这个接口，一会那个参数

审核看到后面都不知道你想表达什么。 其实一个好的报告特别像：

“带别人走一遍你的发现过程。”

你是怎么发现的？ 你看到了什么？ 你为什么觉得这里有问题？ 你怎么验证的？ 一步一步讲清楚。

第四：别装B

这个也挺真实的。 有些师傅写报告的时候特别喜欢：

• 一堆专业术语
• 各种高级描述
• 复杂到不像人话

但实际上：

真正高质量的报告，往往都特别“人话”。

因为审核最喜欢的是：

一眼就能看懂。

不是：

“这人技术好厉害，我都看不懂。”

这周猫猫还有个特别深的感受。 很多师傅开始真正做项目之后，会慢慢意识到：

SRC其实不只是“找漏洞”。

还有很重要的一部分：

• 怎么表达漏洞
• 怎么证明漏洞
• 怎么让别人认可漏洞

这个能力其实特别重要。 因为现实情况就是：

你发现了，不代表别人认可你发现了。

所以最近猫猫越来越觉得： 一个真正成熟的SRC师傅，不只是会挖洞。 还得会：

• 写报告
• 做复现
• 截重点
• 讲逻辑

本质上其实是：

让别人相信，你真的发现了一个问题。

很多人觉得：

“我再学点技术就好了。”

但其实有时候：

你离通过，可能只差一份“别人能看懂”的报告。

—— 最近帮收集报告的客服猫猫 🐱

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：隐雾安全 猫猫 猫猫《猫猫周报 Vol.09|如何写出高质量报告》