SOBUG漏洞悬赏平台

SOBUG是什么？

SOBUG是一个漏洞悬赏平台。在授权框架下，企业项目在平台上接受白帽的安全测试，按照漏洞危害和数量来付费。SOBUG平台希望营造良好的氛围，通过信息透明和完善的评价体系，方便厂商直接与白帽沟通，来促进安全问题的快速解决。

为什么要加入漏洞悬赏计划？

随着黑客攻击和数据库泄漏事件的频频发生，防守变得越来越被动。SOBUG认为未来的安全由黑客来驱动，企业应该正面去面对黑客攻击，通过SOBUG的悬赏模式付费授权让黑客帮助企业发现安全问题，让企业更专注于安全问题的解决，树立积极的面对安全问题的形象。

漏洞悬赏源起于美国，前有Facebook，Google，微软；后有HackerOne，BugCrowd等商业公司，通过白帽社区帮助企业发现安全漏洞。国内3BAT等一线互联网厂商均有SRC（安全应急响应中心）进行漏洞悬赏计划，他们通过这种方式使外部漏洞数量直线下降至可控范围内，为自己长线的安全体系建设赢得时间和方向指引。

公开悬赏有风险吗？

安全漏洞存在于每个企业的线上产品和业务的代码中，客观存在，众测或悬赏本身并不是增加风险的来源，相反，企业应该借助SOBUG这样的漏洞悬赏平台在黑客利用之前尽快发现并解决问题。

对于初次做安全测试的厂商，我们建议先做私密众测（什么是私密众测？）。由SOBUG控制参加测试的白帽子数量，随着漏洞发现难度的提升逐步放量，当漏洞发现成本足够高，企业安全能力得到提升后，再考虑进一步发布公开悬赏计划。SOBUG平台站在企业的角度上，为企业的信息安全着想， 提供专门为企业定制的服务。

公开悬赏和传统众测的区别？

不受时间的限制。传统众测周期从1周到1个月不等，时效性短，不方便业务处于频繁迭代的厂商。公开悬赏则是一年365天不间断的帮企业收集安全漏洞，适合处于业务迭代期的企业。

不受人数限制。传统众测人数被限制在单个项目30人左右，是狭义上的“众测”。公开悬赏则是帮企业从10,000+黑客手上收集安全漏洞。

厂商直接定价漏洞最低奖金，不设上限，真正基于效果付费。SOBUG鼓励漏洞的市场经济，厂商可根据自身预算和黑客积极性动态调整奖金额度。

如何开始公开悬赏项目？

注册SOBUG的厂商账号，在项目设置中填写测试目标和漏洞奖金等信息，提交后等待SOBUG平台审核厂商身份，双方签订合同，完成厂商账号充值，即可开始公开悬赏项目。

SOBUG收费标准

SOBUG平台默认收取企业充值金额的20%作为居间服务费。如需代审漏洞等其他专业服务，请联系客服400-050-7895咨询。

什么是私密众测？如何发起？

私密众测，仅让受邀请的白帽为项目做测试，而未受邀请的白帽无法看到该项目并无法向该项目提交漏洞。私密众测适用于初次做安全测试的厂商，让你借助白帽社区的力量，逐步提升自己的安全能力。发起私密项目的基本流程如下图所示。若需要更多帮助，请联系客服400-050-7895咨询。

请联系客服400-050-7895或发邮件到 bd@sobug.com 获取一对一企业服务。
收费标准请参考：SOBUG收费标准

何时应该从私密项目转向公开项目？

时间点取决于企业的安全能力，而安全能力取决于众测的效果。SOBUG通过定期数据化的运营，衡量企业安全效果，量化企业安全能力，用数据向企业证明公开悬赏的时机。

1、企业外部漏洞：企业在第三方漏洞平台上的漏洞数量逐步减少，趋于平稳；
2、企业众测漏洞：企业在SOBUG平台的漏洞数量逐步减少，趋于平稳；
3、行业漏洞趋势：企业所在细分行业在第三方漏洞平台的漏洞趋势和类型分布统计；

对于企业来说，公开悬赏代表企业对用户安全的重视程度，可增强用户信任感，帮助树立企业在解决安全问题方面的正面积极形象。

对于有SRC（应急响应中心）的厂商，SOBUG的价值是什么？

有SRC（应急响应中心）的厂商可以把SOBUG作为白帽子的强补充源，帮助运营白帽社区，SOBUG可以为SRC做定制化的数据服务和接口开发，成为坚实的合作伙伴。SOBUG平台愿意与客户一起联手PR，让用户能够感知企业在安全的投入和重视。

如何定义漏洞的危害程度？

SOBUG平台提供一套被普遍接受的完整的漏洞危害定级，在您填写项目设置时已默认填入，可根据自己的需求再修改。以下是默认的危害定级模板：

高危漏洞定义

0x01应用及主机安全评级

直接获取权限的漏洞

远程任意命令执行
文件上传获取Webshell
代码执行
远程缓冲区溢出
可利用的 ActiveX 堆栈溢出
SQL注入获取系统权限
服务器解析漏洞
文件包含漏洞
可利用的浏览器use after free漏洞
远程内核代码执行漏洞以及其他因逻辑问题导致的远程代码执行漏洞
通过SSRF漏洞造成的命令执行

严重的逻辑漏洞

任意账号登录
任意账号密码修改
任意账号密码获取
条件竞争逻辑漏洞
支付逻辑漏洞（可零元购买、购买数量可为负数、多线程提交可少量金额购买多份等漏洞）
越权修改、查看任意用户账号信息
任意账号资金消费
功能接口的越权使用，比如任意用户的账户权限、类型修改

直接导致严重信息泄漏或数据泄漏漏洞

核心DB的SQL注入漏洞
可获取订单信息的漏洞
包含用户信息的log文件
数据库备份文件下载
任意文件读取
源代码压缩包泄漏
github泄露的线上源代码
含有线上源码的svn/git泄露
系统服务匿名访问泄露敏感信息（rsync，redis，mongodb等）
可获取大量用户个人信息的接口
应用加密可逆或明文的敏感信息泄露
可获取任意信息的 XXE漏洞
可包含任意文件的 SSI 漏洞

能直接盗取用户身份信息的漏洞

重要业务的重点页面的存储型XSS 漏洞
越权获取用户个人信息
普通站点的 SQL注入漏洞
越权修改导致用户信息泄露的储存型xss

任意代码执行

本地可利用的堆栈溢出、UAF、double free、format string、本地提权
文件关联的DLL劫持（不包括加载不存在的 DLL文件及加载正常 DLL 未校验合法性）
重要客户端产品的远程 DoS 漏洞
其它逻辑问题导致的代码执行漏洞

弱口令漏洞

重要管理后台弱口令
涉及企业敏感信息的员工邮箱弱口令
涉及企业敏感信息的JIRA/Confluence/WIKI等系统弱口令
代码管理平台弱口令
系统服务器弱口令（RDP、FTP,SSH,数据库）

重要验证绕过漏洞

绕过验证直接访问后台

大范围影响用户的漏洞

核心业务可造成自动传播的存储XSS、可导致蠕虫的CSRF等
可获取敏感信息或者执行敏感操作的重要客户端产品的XSS 漏洞

直接导致业务拒绝服务的漏洞（禁止使用DDoS攻击）

可直接导致服务崩溃、宕机
程序逻辑错误（少量请求导致服务线程阻塞、假死，出现服务器资源耗尽情况）

越权敏感操作

越权修改重要信息，如密码、资金、订单信息、认证资料、绑定的邮箱和手机号等
越权订单操作
重要业务配置越权修改

0x02人员安全漏洞评级

直接获取服务器或数据库权限的漏洞（登录凭证）

云笔记泄露
网盘泄露
员工邮箱泄露
钓鱼方法获取
电话诈骗获取
水坑式攻击获取
员工github账户私密项目泄露

直接获取内网权限的漏洞

VPN账号密码泄露
WIFI密码泄露
植入木马到员工电脑

直接获取管理权限的漏洞（密码泄露或弱口令等）

域名管理权限
企业微博/微信公众号管理权限
企业短信收发平台管理权限
企业业务运营后台管理权限
邮件服务管理权限
OA管理权限
VPN管理权限
第三方软件服务（zabbix,Nagios,cacti等）管理后台权限

导致严重敏感信息泄露的漏洞（能够导致企业网络被入侵及获取敏感数据等）

企业内部QQ群敏感信息泄露
员工第三方云笔记平台泄露
代码托管平台泄露

中危漏洞定义

0x01应用及主机安全评级

需交互才能获取用户身份信息的漏洞

重要敏感操作的CSRF
普通业务的存储型 XSS

普通的信息泄漏

客户端明文存储密码
网站目录遍历
系统路径遍历
git目录泄露
svn目录泄露
非重要DB的SQL注入，且权限较低
包含敏感信息（如内网DB 连接密码）的源代码压缩包泄漏等

普通越权漏洞

无账户敏感信息的越权访问
不正确的直接对象引用
普通信息越权修改

本地应用漏洞（较难利用的客户端漏洞）

普通信息泄露
内核拒绝服务

普通的逻辑设计缺陷和流程缺陷

图片验证码绕过
手机短信验证码绕过
邮箱认证绕过
前端JS认证绕过

0x02人员安全漏洞评级

低权限或无敏感信息账户泄露

员工企业邮箱账户
员工OA系统账户
线上业务管理后台账户

登录后无法进行操作的管理系统

域名管理系统权限需要二次验证
业务管理后台二次验证

低危漏洞定义

0x01应用及主机安全评级

跨站脚本漏洞

反射型XSS（包括DOM XSS，Flash XSS）
Json Hijacking
普通业务的存储型XSS(未能获取用户身份信息的漏洞)等

轻微的信息泄漏

绝对路径泄露
客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache内容，无法获取指定数据表中的内容）
异常信息泄露
日志打印信息泄露
phpinfo、svn/cvs信息泄漏
普通Web目录遍历
普通系统路径遍历
普通目录浏览
内网ip泄露

URL跳转漏洞

本地拒绝服务漏洞

重要产品本地应用拒绝服务漏洞（解析文件格式、网络协议产生的崩溃）、内核拒绝服务漏洞
Android组件权限导致的拒绝服务

确定是安全隐患但是难以利用的漏洞

可能传播和利用的Self-XSS以及无敏感操作的CSRF
难以利用的SQL注入点（除waf导致）

0x02人员安全漏洞评级

员工互联网泄露并无法直接利用的普通敏感信息

需要内网权限才能访问的服务账号密码
内网测试系统账号密码

无效漏洞定义

如下漏洞不收取（包括但不限于）：

1、登录/注销CSRF；
2、SSL/TLS安全设置问题；
3、没有实际意义的自动化扫描器报告；
4、登入登出URL跳转漏洞；
5、在其他漏洞平台重复提交；
6、批量手机短信发送问题；
7、危害不大与较难利用的反射型XSS；包括但不限于Self-XSS等；
8、后台、Mysql端口对外开放对外访问，且需要账户密码登录；
9、无限制Email轰炸，用户批量注册等；
10、无法证明漏洞是否存在或者危害，比如一些在线的APP漏洞检测工具的检测结果等；
11、密码和账户策略，如重置密码链接时效性或密码强度问题；
12、仅影响过时或没有打补丁的浏览器和用户；
13、对厂商财产或设备进行任何物理攻击的尝试；
14、问题没有明确的安全性影响，比如点击劫持，缺少安全报头或错误信息；
15、拒绝服务攻击；
16、软件版本号信息泄漏；
17、网站被第三方程序阻止（如谷歌浏览器对恶意网站的警告）。

注意事项

* 测试过程不能损害正常业务。
* 漏洞在厂商未经授权的情况下不允许公开。
* 测试漏洞过程中不能对后台进行批量修改或删除等操作。

--------涉及上述行为，奖金作废并追责-------

* 框架漏洞，同类型同参数不同地方出现，认定为同一个漏洞，后续提交忽略。
* 通过厂商内部wiki，jira等系统获取的敏感信息（密码信息，vpn信息等）造成的后续漏洞，解释权归厂商所有。
* 抵制刷漏洞行为，如弱口令进行多次提交，越权漏洞根据利用方法多次提交等。
* 超出范围厂商可能拒绝、或者打折，请各位白帽子注意看清楚需求。
* 报告中需要正确详细去描述漏洞的利用场景,方便与厂商沟通，如无法描述或利用做无效处理。
* 报告需描述详细的漏洞利用流程。
* 报告内容不全，无法直接证明的漏洞忽略或降级处理。
* 虚假提交、不经过思考提交的问题取消测试资格。
* 低危厂商酌情收取。
* 超出范围（第三方服务，厂商提供的目标之外）的漏洞报告解释权归厂商所有。

测试越权删除或者有危害厂商正常数据的行为，请自行注册两个测试账号进行，并提供测试账号密码

如何制定合适的漏洞奖金？

漏洞的最低奖金由厂商来定价，SOBUG只做建议，不做干预。需注意这里的定价是最低定价，比如高危漏洞最低价格为3000元，那么符合高危漏洞认定的漏洞最低应该获取的奖金是大于等于3000，我们认为奖金越高，漏洞悬赏的效果越好。

如何看到白帽提交的漏洞报告？

登录后，点击菜单栏的【我的报告】，进入后在左侧报告列表中选中一份报告，即可看到漏洞报告具体内容。

如何审核漏洞报告?

菜单栏【我的报告】--> 左侧列表选中报告（图13-01）--> 右侧底部状态下拉框选状态（图13-02） --> 提交

图13-01

图13-02

一般漏洞处理流程是：
查看漏洞 --> 复现漏洞（1） --> 审核漏洞 --> 修复漏洞（2） --> 奖励白帽（3） --> 漏洞结束

1、白帽首先提交报告给厂商，厂商查看后复现漏洞。
2、当复现成功并且确实造成漏洞危害时，厂商应将漏洞状态改为“审核通过，待修复”(图13-03），并定出危害等级，接着开始修复漏洞。
3、厂商修复该漏洞后，将漏洞状态改为“已修复，立即奖励”，并输入奖金（图13-04）。提交后奖金即刻发给白帽，漏洞结束。

图13-03

图13-04

若遇到重复漏洞(图13-05）
待审核 --> 重复漏洞 --> 填写重复的漏洞编号 -->  漏洞结束

若遇到无效漏洞（无法重现 / 超出范围 / 无危害）(图13-06）
待审核 --> 无法重现 / 超出范围 / 无危害 -->  漏洞结束

若遇到不完整的漏洞报告(图13-07）
待审核 --> 不完整需补充 --> 等待白帽修改报告 --> 厂商重新审核

如何奖励白帽子?

菜单栏【我的报告】--> 左侧列表选中报告（图14-01）--> 右侧底部状态下拉框选状态 --> 提交

一般正常有效的漏洞报告处理流程：
待审核 --> 已审核，待修复（漏洞定级）--> 已修复，立即奖励（输入奖金）（图14-02） --> 漏洞结束

图14-01

图14-02

帐号余额不足？请点击此处：如何给厂商账号充值?

如何解决厂商与白帽之间产生的分歧？

分歧主要会出现在两个地方：沟通和奖金。SOBUG相信解决分歧的有效办法是信息对称，我们希望通过美好的产品来优雅地解决分歧。

1、通过平台产品将漏洞报告标准化，减少在漏洞认知上的不对称。
2、通过漏洞的最低标底让漏洞奖金在漏洞提交之初透明对称。
3、引入了评价体系，对平台双方进行信用评级。

如何给厂商账号充值？

支持两种充值方式，线上支付宝充值或联系客服线下打款。
SOBUG平台将默认收取20%居间服务费，例如：充值¥50000，实际到账¥40000可作为漏洞奖金。

1、支持线上用支付宝充值。登录后，点击头像旁下拉框，选择“项目设置”，如图：

在页面左侧列表中选择“账单”， 如图：

接着在页面右侧点击“充值”，输入金额，跳转到支付宝页面，完成支付即可。如图：

2、线下打款，请联系客服400-050-7895

如何让运维/开发同事收到漏洞提醒？

SOBUG平台提供有关漏洞的提醒邮件服务，可以在提醒设置里面，添加开发/运维同事的邮箱，共同接收漏洞报告提醒。
1.、点击头像下拉框，选择“项目设置”，如图：

2、在左侧栏选择“提醒设置”，如图：

3、输入电子邮箱地址
4、点击“+”号可以添加多个邮箱
5、最后点击“保存”按钮，如图：

如何修改测试目标？

新增测试目标需要SOBUG平台审核后才可更新生效，删除测试目标则立即生效。

1、点击头像下拉框，选择“项目设置”，如图：

2.、在左侧栏选择“项目表单”，修改测试目标，如图：

3、确认无误后，点击“更新”按钮，如图：

如果SOBUG平台的白帽用户利用厂商漏洞从事非法活动怎么处理？

SOBUG与第三方威胁情报系统深度合作，在技术层面可协助厂商调查取证，若有证据可证明白帽确实利用厂商漏洞从事非法活动，SOBUG将协助厂商走法律程序，帮助维护厂商利益。

如何邀请同事一起参与报告？

安全工程师小黄正在阅读一份白帽巴哥提交的漏洞报告，小黄遇到了一些业务疑问，想与他的同事，开发部的小李一起讨论。于是小黄在报告内的参与者栏，点击“+”号(图20-01），输入了小李的邮箱 (图20-02），邀请他加入这份报告的审阅。

图20-01

图20-02

小李收到了来自SOBUG发送的邀请邮件，接受邀请并注册了账号后，小李在【我的报告】里面看到了小黄想与他讨论的报告。小李通过评论与白帽巴哥交流后，了解报告中细节，并在报告内发送了内部私密评论，告诉小黄该漏洞应该评高危和一些具体的修复代价。 (图20-03）

图20-03

小黄看完所有评论后，把报告定为高危，并按照小李和巴哥提供的修复方案进行安排。并把修复相关的人员也添加为这份报告的参与者。

相关问题：如何添加安全处理小组的新成员？

如何添加安全处理小组的新成员？

公司A有网络安全部，部门共两人。A司本月开始做白帽众测，发现不少高危问题。鉴于网安部门两人的工作量大、信息安全知识有限，需要找专业顾问提供代审核服务。
通过SOBUG,A司得到了顾问的联系方式。A司登录自己的SOBUG厂商账号，在设置-成员管理中（图20-04）
点击“邀请成员”（图20-04）选择权限（代审核至少需要【审核权限】）
输入顾问的邮箱或昵称，确认邀请（图20-05）

图20-04

图20-05

顾问接受邀请后，成为厂商的安全处理小组成员。A司可以在需要顾问代审核的报告中，直接“添加参与者”，选择顾问，确认添加（图20-06）。顾问看到报告后，帮你复现漏洞并审核评级。A司只需要专注修复漏洞，给白帽发奖励既可。

图20-06

另外还可以更改成员的权限（图20-07），分为默认，邀请，审核，奖励（图20-08）。 也可以移除成员（图20-07）。当然移除成员后，你可以随时再邀请他们回来。

图20-07

图20-08

还有正在邀请的列表，你可以随时取消邀请（图20-09）

图20-09

漏洞悬赏计划和以往的众测有什么区别？

漏洞悬赏计划是基于厂商授权测试的框架上，公开收取漏洞，按照漏洞的危害程度给出赏金。厂商以积极面对安全问题的态度，列出测试目标，给出保底的奖金。SOBUG平台希望在厂商和白帽信息对等的情况下，营造平台良好的沟通氛围，让白帽提洞更舒心，厂商处理安全问题更有效率。

另外，SOBUG平台将不定期开展奖励活动，给广大白帽更多的福利。

如何提交漏洞？

在菜单栏中点击【悬赏项目】或进入bounty.sobug.com/bounty 选择对应的厂商，点击提交漏洞，填写完整的报告信息，提交即可。

厂商审核漏洞需要多少时间？

厂商会在3个工作日内审核漏洞。当漏洞被审核后，白帽注册邮箱将收到提醒邮件。

在厂商收到一份新报告时，会收到一封提醒邮件。若厂商未及时审核，SOBUG平台将每天发送催促邮件给厂商。我们将尽力推进所有安全问题的处理，但同时也请白帽子理解厂商内部评估，排期，灰度等流程。若还有其他问题，欢迎加入QQ群275463901 ，咨询SOBUG运营人员。

厂商需要多少时间修复漏洞？

当漏洞被审核通过后，厂商将在1/3/7个工作日内修复高/中/低危漏洞。SOBUG平台将尽力推进所有安全问题的处理，但同时也请白帽子理解厂商内部评估，排期，灰度等流程。若还有其他问题，欢迎加入QQ群275463901 咨询SOBUG运营人员。

漏洞审核通过后，何时能收到奖励？

取决于厂商的修复时间。漏洞被修复后，厂商才能将漏洞状态修改为“已修复，立即奖励”，同时将漏洞奖金转入白帽的SOBUG账号。

一般正常有效的漏洞报告处理流程：
待审核 --> 已审核，待修复（漏洞定级）--> 已修复，立即奖励（奖励白帽） --> 漏洞结束

如何处理多位白帽提交相同的漏洞？

我们可能会收到多个白帽子提交相同的漏洞信息。如果发生这种情况，我们以第一位提供完整报告的白帽子为准。完整报告的定义是：漏洞危害，复现过程，修复建议均准确无误。

如何提现账户余额？

SOBUG平台支持白帽账号的余额用支付宝账号提现。点击头像旁下拉框，选择个人中心，如图（图7-01）：

图7-01

在左侧选择“账单”，如图（图7-02）：

图7-02

设置支付宝账号（图7-03）后，点击提现（图7-04）

图7-03

图7-04

如何获得积分？

SOBUG平台将不定期举行积分奖励活动，奖励挖洞速度快，有效成功，思路精巧的白帽。另外，在引入报告评分机制后，SOBUG平台将额外奖励优秀的漏洞报告，鼓励白帽用心填写完整有效的漏洞报告，帮助厂商更快解决安全问题。

如何使用积分？

在菜单栏中点击【积分商城】，可以使用积分兑换商品。目前，一积分等值五元人民币。

探索能力、漏洞价值是什么？

漏洞有效度：报告的平均有效度，范围从-5~7，初始值为0

例如：
白帽巴哥提交过13个漏洞，其中8个漏洞确认，2个漏洞超出范围，1个重复漏洞，1个无危害，1个漏洞无法复现。那么他的探索能力应该是(7*8+2*2-5*1) /13≈4.23

例如：
白帽小莫提交过29个漏洞，其中13个漏洞确认，9个漏洞超出范围，2个重复漏洞，5个漏洞无法复现。那么他的探索能力应该是(7*13+2*9-5*5) /29≈2.89

漏洞价值：确认漏洞的平均危害程度，范围从0~25

例如：
白帽老李提交过15个漏洞，其中3个高危，6个中危，2个低危，4个无效漏洞。那么他的漏洞价值应该是(25*3+15*6+3*2+1*4) /15≈11.66

例如：
白帽小冰提交过30个漏洞，其中4个高危，8个中危，10个低危，8个无效漏洞。那么他的漏洞价值应该是(25*4+15*8+3*10+1*8) /30≈8.6

某些悬赏项目会根据评分来邀请白帽加入测试。有其他问题，欢迎加入QQ群275463901 ，咨询SOBUG运营人员。

什么样的报告是份好报告？

一份好报告能完美阐述问题和解决问题。完整填写【提交漏洞】页面的内容，带有完整有效重现步骤、修复方案。以下具体每项说明：

危害说明：说明如何利用漏洞，造成什么样的危害。支持插入代码段、图片。

漏洞类型：选择最贴合最先被利用的漏洞类型。

重现步骤：完整地具体写出你如何发现漏洞，漏洞的成因、危害，提供必要的PoC、payload。详细写出如何利用漏洞，对厂商用户造成危害。支持插入代码段、图片，可以全屏编辑。

修复建议：勾选某些漏洞类型，会自动生成对应的模板式修复建议，这些是通用的方案，针对性较弱，仅供参考。我们强烈建议大家写出针对性修复建议，更有效地帮助他人，节省开发人员的修复时间，加速漏洞处理的时间。另外有效的完整的修复建议，能提升你的报告评分，该评分将影响个人的漏洞质量指数。

SOBUG平台将对完整有效、完美解决问题的报告进行额外奖励。

报告状态有哪几种？

漏洞处理流程？

一般正常有效的漏洞报告处理流程：
白帽提交漏洞个（待审核） --> 厂商查看并复现漏洞 --> 厂商审核漏洞（已审核，待修复）--> 厂商参考白帽的修复建议来处理漏洞 --> 厂商奖励白帽（已修复，立即奖励） --> 漏洞结束（图3-01）

若遇到重复漏洞：
待审核 --> 重复漏洞 --> 填写重复的漏洞编号 -->  漏洞结束（图3-02）

若遇到无效漏洞（无法重现 / 超出范围 / 无危害）：
待审核 --> 无法重现 / 超出范围 / 无危害 -->  漏洞结束（图3-03）

若遇到不完整的漏洞报告：
待审核 --> 不完整需补充 -->  等待白帽修改报告 -->  厂商重新审核（图3-04）