最近一段时间,知道创宇的wsl小伙伴们发出了一个疑问:

我给tsrc提交的漏洞和xxx是一样的啊,为什么我的分少?

这个小伙伴的疑问的问题在于,没搞清楚漏洞的价值,漏洞价值体现在漏洞影响上,几个维度:
1. 漏洞本身的危害,比如一般情况下SQL的危害大于XSS;
2. 漏洞的易利用程度,一步搞定目标?还是要结合社工等,N步搞定目标,这个决定了成功率;
3. 目标群体大小,QQ群体规模>企业QQ;
4. 目标本身的价值,一般情况下,企业QQ>普通QQ,如你是要搞Q币,那就是普通QQ>企业QQ;
5. 社会影响面,如果被炒作了……这点可以忽略,要不然太复杂了;

Continue reading