如何处理被*SRC拒绝的漏洞

   最近在几个SRC【安全响应中心Security Response Center，简称ASRC）】遇到了提交的漏洞被拒绝，或者叫忽略的情况，下面谈谈如何处理被无视的漏洞。

*SRC作为网站和白帽子之间的接口，他们肯定希望所有的价值的漏洞都给予评分，但是不排除有误判的情况，如何处理这些漏洞，我有以下几点建议：

第一，联系漏洞的评审员，要求复审。*SRC里也不全是安全行业的大牛，对于根据提交者的描述，评审员自己无法理解的漏洞，一般会被忽略。但当你要求复审时，他们会再找更高级别的人帮忙确认，一般在此阶段，对于有价值的漏洞就会被确认了。

第二，增加描述，以及对应的CVE编号。通过第一种方法，还是没有得到确认的漏洞，可以尝试提供CVE编号。如果不是自己提的0DAY，一般都会有漏洞的CVE编号，可以把CVE编号提供出来，以便评审人员参考。

第三，自己根据CVE描述写POC。如果前两个还是行不能，那就要自己写POC了，只是这个要求比较高，但对于价值比较大却没有被认可的漏洞，这还是值得的，虽然写一个POC会花几倍于挖漏洞的时间，但是对于证明自己的实力还是很有帮助的。

第四，可以提交到第三方的漏洞平台，看看第三方的评价。一般能在第三步写出POC的，这一步就走不到了，自己看到了漏洞，给出了CVE编号，却写不出POC，第三方漏洞平台也是一个好的“说理”的地方。

第五，千万不要直接把漏洞公布出来。这样的危害太大，比如你看到人家的窗户没有关，你告诉主人，主人认为自己家窗户外有防盗，别人进不来，你也不必到处说XX家窗户开着。

   以上只是个人看法，欢迎大家一起讨论，谢谢！