文章总结： 本文通过某荣耀SRC平台SSRF漏洞评级案例，分析全回显SSRF被定为低危200元后，通过提供敏感信息证明提升至中危500元的过程。文章探讨SRC规则差异、审核周期长、白帽子投入产出比等问题，建议厂商优化规则明确证明要求、白帽子选择适合平台并加强双方友好沟通。 综合评分： 75 文章分类： 漏洞分析,SRC活动,安全运营,安全意识,实战经验

关于某荣耀SRC全回显SSRF低危评级200块的一些思考

原创

安全小八 安全小八

小亿的红队梦

2026年5月9日 18:15 福建 标题已修改

在小说阅读器读本章

去阅读

免责声明

我会先写一段免责声明。本文只分享一些徒弟SSRF漏洞评级过程。我不针对任何特定的平台。本文的目的是为了促进白帽子和厂商之间的更好良性沟通，图片由AI生成。

故事起因有上百家的SRC，徒弟为什么会去挖这家呢，因为突然有活动了。

可以先看看规则：只有低和高的SSRF：

故事很简单，徒弟挖了一个全回的SSRF，开心坏了都，准备爽吃高危了，结果来个了大惊喜 ，低危，200块，牛牛牛！理由很简单，全回但是无敏感信息，想提升危害请提供敏感信息证明，然后审核给出了规则，高危需要获取内网敏感信息，后续徒弟就去找，好，我们遵守敬畏规则，提供证明，最终很会，评级为中，500块（其实一开始徒弟以为少打了一个0），截图很清楚了：

可以看到审核周期的漫长，从第一次定级到第二次定级，一个月时间，全程友好沟通，不骄不躁

通过这个故事，主要还是要引发一些思考。

相信白帽师傅都不容易吧，曾经挖某家SRC也是，凌晨的时候刚好找到突破口，结果一挖就到第二天天亮了，交了7个最后得到反馈就是5个重复，2个通过哈哈哈，找到突破口了，哪里还睡得着呢？有的师傅是白天上班，晚上下班了还能挖6个小时，辛苦只有自己知道吧。

引发一些思考

1、对于不同挖掘不同SRC应当先看看规则，不同平台规则基本上类似的，但是不排除个列特殊。比如目前大部分对于SSRF证明的都是有提供专门的地址(这样是不是可以少很多很多的争议了，提高效率，大家都能减少工作量，减少无用功？)，直接请求证明即可，是否一些平台规则需要进行优化呢？白帽子通常只是点到为止。

2、投入时间的思考？像审核周期如此漫长的我们是否还要继续选择它呢？具体流程我们也不清楚，要学会选择适合自己的SRC，时间投入要与回报价值不能差太多。

3、希望白帽子与厂商应该更友好的沟通和交流，我徒弟对于这种漫长的审核周期也是保持了十足的耐心，希望大家可以互相理解和体谅，多一份宽容，既然有这个部门就好好办，安全确实是一个很小的部门。以和为贵，多友好交流，都是互相的。

4、根据不同平台的规则，我们要把危害证明提供完整证明，清晰明了，减少像我徒弟出现的错误，徒弟后续为了提供证明也是多花了将近半个月的时间。

5、有时候该争议的还是要争议一下的，可以200变500，哈哈哈哈哈哈哈哈哈哈哈哈。确实有时候可能是存在流程、对接上的问题，所以需要再确认一下，白帽师傅该争取的利益要争取。规则虽然是死的，但是也是灵活的，本来只有低和高，还是可以变出一个中的。

写在最后

终归甲方才是老板，老板说什么就是什么了。希望各家SRC可以和白帽子更好的沟通和交流，不断优化规则和机制，为国内的网络安全都出一份自己的力量。或许很多没挖过漏洞的人或许看见了报告复现那么简单，但是不知道白帽师傅为了发现这个漏洞花了多少沉默时间成本呢？有时候挖一晚上一个星期一个月都没有成果，其他人是否看得见呢？最后也希望白帽师傅们爱惜自己的身体，少熬夜

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小亿的红队梦 安全小八 安全小八《关于某荣耀SRC全回显SSRF低危评级200块的一些思考》