个人如何提交漏洞,有哪些平台可以去提交漏洞(包括各大厂、第三方、国际知名)?
个人提交漏洞,核心是合法授权、报告规范、可复现,再选择对应平台提交。下面按 “提交流程 → 国内大厂 SRC → 国内第三方平台 → 国际知名平台” 四部分详细说明。
一、个人漏洞提交标准流程(通用)
- 合规与准备(必须)
合法前提:只提交授权范围内的漏洞(企业 SRC、公开众测、公益 SRC);严禁未授权扫描 / 攻击。
证据留存:全程截图(访问→触发→结果),记录 URL/IP、参数、请求包、响应包、POC(非必需但加分)。
漏洞定级:按 CVSS 3.1/OWASP 区分:低 / 中 / 高 /critical,明确危害(信息泄露、越权、Getshell、数据篡改等)。 - 报告规范(直接套用模板)
标题:【漏洞类型】+ 资产 / URL + 场景例:【SQL 注入】xxx.com 用户登录接口注入
正文(必填)
漏洞位置:URL/IP、接口、参数名
漏洞类型:SQL 注入 / XSS / 文件上传 / 未授权 / 越权 / 弱口令等
影响范围:域名、业务模块、用户量
复现步骤(1→2→3→4)+ 截图,确保审核能复现
风险危害:可导致什么后果(数据泄露、控服务器、资金损失)
修复建议:具体可落地(参数化查询、文件校验、权限控制、WAF 等)
附件:请求包、截图、POC(可选) - 提交与跟进
注册平台→实名认证→签署协议
选对应厂商 / 项目→按模板提交
审核周期:大厂 1–3 天,第三方 3–7 天
跟进:通过→领赏金 / 积分 / 证书;驳回→按原因补充重提;修复后配合复测
二、国内大厂 SRC(只收自家产品,奖励高)
- 互联网头部
腾讯 TSRC网址:https://security.tencent.com/覆盖:微信、QQ、腾讯云、游戏、公众号等特点:24h 响应高危、奖金高、内推机会、季度榜单
阿里 ASRC / 阿里云先知网址:https://security.alibaba.com / h