https://security.alibaba.com/announcement/announcement?spm=0.0.0.0.JpXPhv&id=187
    说明:
    1. 本规范用于规范白帽子提交漏洞/情报的格式要求;
    2. 提交漏洞需要按本规范要求填写,符合规范填写的将优先审核,ASRC每月选出3位漏洞报告最好的白帽子,不看漏洞级别,只看书写规范,他们将获得:随机一个漏洞的翻倍奖励。

    一、漏洞名称
    1. 漏洞名称应明确说明漏洞所在业务、漏洞类型等信息,避免使用【某业务】、【某网站】、【阿里】等泛指的词;
    2. 若不确定漏洞所属的业务是什么,请使用域名或IP等代替;
    3. 漏洞标题中不需要写影响的内容、影响的范围等。如避免使用标题【XXX漏洞泄露用户身*证XX个】等,此类信息请在漏洞详情中写明;

    举例:
    《淘宝开放平台搜索功能反射型XSS漏洞》
    《xyz.taobao.com Jsonp劫持用户敏感信息》
    《淘宝旺铺店铺装修处越权查看用户敏感信息》

    二、所属业务
    所属业务请选择「阿里巴巴集团」,如发现的漏洞是归属「蚂蚁金服」(支付宝)的漏洞,请提交至蚂蚁金服安全响应中心AFSRC,地址:https://security.alipay.com/ 。对于不好判断业务是否属于蚂蚁金服的,可咨询ASRC运营人员或先选择「阿里巴巴集团」上报。

    三、漏洞类型
    1. 漏洞类型请按真实漏洞类型选择;
    2. 对于漏洞类型确实不明确的,请先确定漏洞大类,再选择相应小类里的「其他」;
    3. 若漏洞是由若干漏洞组合利用的,请选择其中最主要问题的漏洞类型;
    4、黑灰产情报、营销作弊、规则绕过、钓鱼网站等漏洞提交时,漏洞类型请优先选择威胁情报。

    四、漏洞等级
    漏洞等级会直接影响漏洞影响强度,虚标高漏洞等级会消耗大量人力物力资源响应漏洞,请严格按漏洞危害选择相应漏洞等级。

    五、漏洞URL
    Web类漏洞需要提供漏洞URL,漏洞URL应当为漏洞最关键部分的URL,如存储XSS的输入或输出点页面URL、SQL注入点的URL、POST型反射XSS的目标URL等。URL需要是完整的链接,不能仅写主域名。

    举例:
    反射型XSS:https://www.xxx.com/foo/bar?alice=
    GET型CSRF:https://www.xxx.com/update/profile?name=test

    六、 漏洞详情
    原则:
    1. 尽可能提供足够的信息,如无特殊必要情况,所有信息能直接提供在漏洞详情的请直接在漏洞详情填写,请勿仅提供简单描述+文档/视频等方式提交漏洞详情;
    2. 准确、客观的描述漏洞出现的位置、测试步骤、PoC/EXP、影响大小等,并提供关键步骤的截图、利用成功的截图、视频等(视频等信息仅做为漏洞详情的补充说明,不能只提供视频);测试步骤和POC必须填写完整。漏洞利用点:客户端漏洞需要提供准确的漏洞代码位置,包括包名、类名、关键部位代码问题说明。如果是非代码类的,业务操作相关的漏洞,需要明确说明功能入口;
    3. 客户端漏洞需要提供存在问题的客户端、版本号,特殊渠道下载的包请说明下载来源;
    4. 接口类URL上的漏洞请同时提供调用此接口的业务页面URL;需要前置步骤或前置权限的,请一并说明,如有Referer校验的URL需要提供前置的测试步骤、需要使用卖家账号并购买了XX服务后才能测试的漏洞需要提供具体服务的地址;
    5. 非常见的漏洞类型请额外提供漏洞原理、成因、修复方案等,并附上参考资料链接;常见的漏洞无需提供漏洞上述信息。
    6. 漏洞关键步骤为HTTP POST的,请在漏洞详情正文最后提供完成的POST包,POST包与正文请使用一行“+++++++++++”隔开,如SQL注入、越权等漏洞。HTTP头中的Cookie字段的值可置空,但需要留有Cookie字段名。若为文件上传类等漏洞,请把包中文件内容字段置空以减少内容大小;

    部分漏洞详情额外要求说明:
    1. POST型CSRF、CORS、Jsonp劫持等:请提供PoC、漏洞所在页面URL;
    2. 存储型XSS:请提供输入点所在页面URL、输入点字段名、Payload、输出点URL、输出点具体位置的截图说明,如果触发路径较长,需同时提供触发方式;
    3. SQL注入漏洞:请提供注入点URL所在页面URL(如果有)、注入点URL、注入成功后的截图;
    4.有账号认证的应用需提供漏洞测试时所使用的账号名信息。
    5.漏洞测试如果获取到webshell,请提供完整的webshell访问地址和连接密码。

    附:HTTP POST数据包提交格式

    这是漏洞详情正文正文正文
    这是漏洞详情正文正文正文
    这是漏洞详情正文正文正文

    ++++++++++++++++++

    POST /welcome HTTP/1.1
    Host: www.taobao.com
    Connection: close
    Accept: application/json, text/javascript, /; q=0.01
    X-Requested-With: XMLHttpRequest
    Content-Type: application/x-www-form-urlencoded; charset=UTF-8
    Referer: https://taobao.com/index.html
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9
    Cookie: [deleted]

    id=ABCDE

    ++++++++++++++++