信息安全报告

A 风险评级不是投票选美，得拿准绳量。先看影响面：多少系统、多少数据、多少用户真会中招；再看难易度：普通员工点一下就崩，还是得黑客蹲三天。两头都实打实写进正文，别藏在附录里。

A 别写“我进行了渗透测试”，写你卡在哪一步、换了几种payload、被WAF拦住后怎么改头换尾再试。写你盯着响应包发呆，突然发现cookie里藏了session ID，顺藤摸瓜翻出后台路径。过程要喘气，有卡顿、有试错、有灵光一闪，让人信你手指真敲过键盘。

A 拿尺子量：看它能不能绕过现有防护、有没有现成利用代码、影响系统是不是核心业务入口。别光套CVSS分值，把“这个漏洞一开，财务系统登录页就裸奔”这种话写进去。风险评级不是数学题，是给老板看的止损优先级清单。