T00ls投稿提交说明与审核解释📮📮📮

一、T00ls投稿的历史

T00ls应该是中文安全论坛第一家开启投稿注册，根据对论坛帖子的考古，核实T00ls于2010年6月22日开启“申请注册”，逐渐演变成今日的“投稿”。

T00ls的投稿注册模式对安全圈影响比较大，一方面许多论坛参考了T00ls的方式，一直被模仿，另一方面也是T00ls开创先河之后，专注于漏洞提交的“乌云”才很快出现。

经过多年的发展，T00ls的投稿方式已经基本固化，一直沿用至今，并成为T00ls吸收新生力量最有效最直接的办法。

二、T00ls的非盈利模式

T00ls的非盈利模式决定了，参与T00ls审核工作的版主都是义务劳动，大家工作都比较忙，能帮忙审核都是情分，因此审核时间超过1个月很正常。但如果文章的质量绝对高，那么很有可能一周内能够通过。

T00ls的非盈利模式决定了，在T00ls提交的漏洞不一定能够及时通知到厂商或者各单位，但是也不会对公众开放。

T00ls的非盈利模式决定了，如果厂商主动找过来，T00ls会及时并无偿分享漏洞的所有内容与细节，毫不保留。

三、T00ls投稿的说明

投稿的分类

原创漏洞

原创漏洞，指针对高校、事业单位、大型互联网公司、大型网络安全公司、大型上市企业或者知名企业等旗下的资产，包括但不限于外部可以访问（域名、IP访问）的服务器、网站、中间件、各类应用等存在的漏洞，包括但不限于逻辑漏洞、存储跨站、SQL注入、命令执行等等。

选择该类别，必须提交清楚存在的漏洞的目标具体名称、详细URL以及漏洞细节，图片请勿打码。

原创文章

原创文章，包括但不限于对某个网站、网络的渗透测试的文章，针对某个应用、APP、源代码的漏洞审计或逆向分析等详细过程的文章，针对某厂商开发的通用程序、应用、系统等挖掘出的漏洞并能通过资产探测工具关联到超过10家在用的资产的文章等等。

选择该类别，如果是渗透测试文章，要求思路或者细节曲折复杂，有学习意义，请使用某厂商某公司替代公司名称，图片请厚码；如果非渗透测试文章，一是漏洞挖掘审计，要求附上源码与解释及挖掘过程，二是通用系统漏洞，要求列出厂商名称、漏洞细节及10家以上关联资产，所有都需提供详细细节，图片请勿打码。

投稿的要求

1、用户名请低调填写，叫xxxhack或火星文一律不予通过。

2、Copy网络文章过来投稿，ID、IP均进入黑名单。

3、图片请上传，T00ls不接受任何外链，外部图片不予通过，图片必须清晰。

4、单个反射型XSS跨站不接受，纯粹的路径泄露不予通过。

5、一稿多投或者将自己的其他公开文章转过来，铁定不予通过。

四、T00ls审核的解释

1、一稿多投，是指原创漏洞已经提交给CNVD等平台或者已经提交给厂商自己的SRC，再投稿给T00ls；或者原创文章已经发在自己的博客或公众号上，再投稿给T00ls。

2、知名厂商，是指高校、事业单位、大型互联网公司、大型网络安全公司、大型上市企业或者知名企业，最起码企业规模比较大且数字化转型、信息化发展比较深入。

3、原创文章，一般要求图文并茂、内容充实，让人耳目一新，比较容易过的是独特思路的渗透过程文章或者针对某个知识点的总结文章。

4、漏洞复现，针对最新CVE的漏洞复现，请提交原创文章，只接受最早提交的那篇，但要求漏洞的分析与复现必须详实；靶机测试类的漏洞复现一般不予通过。

5、提交IP或者非厂商的主域名，需要能够证实该资产与目标的真实关系。