第4章 第一單------------------------------------------,週四。。,需求文件隻有一頁半,預算不高,但要求很明確:列出漏洞,給出修複建議,一週內交付。,回了接單確認。然後開啟對方發來的係統訪問憑證,開始看。[檢測到目標係統為自建PHP框架,版本較舊。][核心框架版本對應2011年左右的寫法。存在多處已知漏洞模式。]——註釋混亂,變數命名隨意,SQL查詢冇有引數化。他花了大約二十分鐘掃完,標註了三處明顯的問題點。[還有兩處潛在風險,需要進一步驗證。]——真實可利用,經典的單引號閉合,完全冇有做過濾。標註:高危。,但利用條件苛刻。標註:中危。,登入前後session ID不變。標註:中危。[另有資訊泄露和弱密碼策略各一處。共5處漏洞。]。這種單子的客戶通常看不懂技術細節,所以報告要寫得清楚——問題放前麵,風險程度用顏色標註,修複建議寫得越具體越好。。他覺得一份寫得清楚的報告本身就是能力的證明。[你寫報告的時間比分析漏洞的時間長。]