1、如果是专属的话,可以看看厂商的规则,如果是公益的话可以使用子域名扫描,至于目录扫描、AWVS扫漏洞、burp爆破弱口令也可以用但还是不要进行大规模的扫描
2、只要证明出漏洞确实存在,然后把复现的详细步骤截图提交上去就行了,不需授权(但不能搞破坏)。
3、一般情况下没有显示的都是可以的,除非平台或厂商明确要求不可以。之后只需证明漏洞存在并附上截图。
4、一般情况下只要不做破坏就不会。
5、慢慢来,加油,欢迎加入安全行业。
2 个回答
1.得看专门的src公告里有没有相关限制
2.教育有主页 | 教育漏洞报告平台 (sjtu.edu.cn),院校的一般都会收,不建议未授权就增删改数据
3.没有专门的src的网站,往补天之类的上交就好了,敏感操作最好取得授权,证明漏洞存在方法有很多不一定非要增删改数据
4.没造成重大危害的,且及时上报的不会