چگونه یک باگ یا آسیب پذیری در باگ بانتی گزارش کنیم ؟

دسته بندی ها : بلاگ 24 دسامبر 2019 علیرضا 470 بازدید

گزارش یک باگ نیازمند رعایت نکاتی است که، تخطی از آن می‌تواند درک باگ را از روی گزارش دچار ابهام کند. گزارشی که تمام این نکات را در خود بگنجاند، یک گزارش مناسب است. البته بسیاری از ابزارهای Defect And Change Management که مسئولیت Bug Reporting دارند، سعی می‌کنند زیرساختی برای تهیه این پارامترها به صورت Agile ارائه کنند، تا حتی المقدور زمان کمتری از گزارش‌دهنده گرفته شود.

 

هنر گزارش دادن باگ یا آسیب پذیری 

  1. یک خلاصه کوتاه از باگ یا آسیب پذیری درج کنید
  2. جزئیات باگ را در محلی قرار بدید که بالاترین رو داشته باشه
  3. تشریح کنید چگونه باگ را پیدا کردید و چه رد پا هایی را باید دنبال کرد تا به آن رسید
  4. محل و محیطی که باگ در آن پیدا شده را توضیح دهید
  5. زمان و تاریخ یافتن باگ را ذکر کنید
  6. باگ را به درستی توصیف کنید ، طوری که دیگران بتوانند تشخیص دهند
  7. عواقب ، خطرات و صدماتی باگ را توضیح دهید و آن را پرنگ کتید
  8. در صورت امکان راه حل های رفع آسیب پذیری یا باگ را توضیح دهید بصورت خلاصه

 

 

رفع باگ و انتشار وصله – تا زمانیکه وصله مربوطه در تمامی محصولات مرتبط منتشر و در دسترس کاربران قرار گیرد نباید آسیب‌پذیری به هیچ طریقی افشا شود. با توجه به اینکه همه کاربران بلافاصله نرم افزار خود را آپدیت نمی‌کنند باید زمانی برای انتشار کامل وصله در نظر گرفته شود تا کاربران آسیبی نبینند. ضمن اینکه خود رفع برخی موارد ممکن است زمانبر بوده یا ملاحظاتی داشته باشد که توسط تیم پلتفرم باگ بانتی تصمیم‌گیری شده و به اطلاع شرکت‌کننده می‌رسد که پس از آن هکر امکان عمومی کردن آسیب پذیری را داشته باشد.

 

فرمت ارسال گزارش

جهت ارتباط صحیح لازم است در گزارش‌های ارسالی موارد زیر قید شده باشد:

  • نام گزارش‌دهنده
  • نوع باگ با توجه به جدول جزئیات برنامه شکار باگ
  • نام محصول و شماره نسخه تست شده، به همراه سیستم عامل
  • برنامه PoC ویا گام‌های دقیق بازتولید و مشاهده باگ
  • آیا تمایل به اعلام نام‌تان به عنوان گزارش‌دهنده باگ دارید یا خیر (در صورت تمایل می‌توانید نام مستعار استفاده نمایید)

نمونه ساده ارسال گزارش :

سلام تیم امنیت IBM  ،
من این رفتار را در وب سایت شما مشاهده می کنم و پیچیدگی ضعیف رمز عبور را مجبور و دور زدم و یک حساب کاربری ایجاد کردم . مراحل انجام  در زیر آمده است.

  1. وارد شدن به آدرس acc.target.com
  2. باز کردن فرم ثبت نام
  3. همه قسمت ها را پر کنید ، اما وقتی به رمز عبور رسیدید ، پسورد روبرو را وارد کنید : “azfvnghhglirewaxvhd”
  4. و میبینیم که حساب شما با موفقیت ایجاد می شود با این نوع رمز عبور ساده ایجاد شد و به راحتی می توان آن را حدس زد.پیشنهاد نحوه رفع این مشکل:
    مطابق خط مشی رمز عبور برای انتخاب رمز عبور ایمن و پیچیده ، باید نکات زیر را در خط مشی رمز عبور در نظر بگیریم:
    گذرواژه‌ها باید از سه چهارم از چهار نوع کاراکتر زیر استفاده کنند:
    1.حرف کوچک
    2. حرف بزرگ
    3. اعداد
    4. کاراکتر های خاص مانند! @ # $٪ ^ & * () {} []

* طول پسورد حتما باید بیشتر از 8 رقم باشد

در مراحل انجام تست می توانید رمز عبوری را ببینید که “azfvnghhglirewaxvhd” است. هیچ حروف بزرگ به اجبار وجود ندارد ، هیچ شماره ای مجبور و کاراکتر خاصی که توسط وب سایت شما مجبور شده اند وجود ندارد. اگر می خواهید پیچیدگی رمز عبور خود را خوب کنید ، باید این چهار نکته را در قسمت رمز عبور خود که در بالا نوشته شده است در نظر بگیرید.
من معمولاً هنگام مراجعه به وب سایت های دیگر و به دنبال ثبت نام کاربری می شوم و هنگام نوشتن رمز عبور با رمز مشاهده می کنم که این نقاط پیچیدگی رمز عبور توسط وب سایت مجبور شده اند و شما نمی توانید یک پسورد مانند “azfvnghhglirewaxvhd” درست کنید که به راحتی توسط کسی حدس زده می شود.

امیدوارم این مورد را توجه قرار دهید .
با تشکر Morgellonser

 

الزامات شرکت در برنامه

  • جهت شرکت در برنامه گزارش‌ها (مطابق فرمت یاد شده) باید منحصرا از طریق پلتفرم های باگ بانتی یا باگ هانتینگ ارسال شوند.
  • گزارش ارسالی باید شامل یک کد proof of concept)PoC) یا حداقل مراحل دقیق اجرای آسیب‌پذیری باشد، به نحوی که این مراحل به سادگی روی محصولی که نصب شده است قابل اجرا و تست باشد.
  • باگ به صورت مسئولانه (Responsible Disclosure) گزارش شده باشد. در صورتیکه اطلاعاتی درباره باگ، با یا بدون جزئیات به شخص یا اشخاص ثالثی ارائه شده باشد شامل این برنامه نخواهد بود. همچنین در هنگام پرداخت ممکن است طرفین تعهدنامه‌ای برای منع افشای اطلاعات مربوط به باگ امضا نمایند.

 

The Hall of N/A

لیستی از موضوعاتی که معمولاً توسط برنامه های باگ باونتی پذیرفته نمی شوند.

Description Issue type
Most bug bounty programs, if not all programs, do not want you to disrupt any of their services. On top of that, to be honest with you, if someone really wants to take down a service they will always find a way. Network-level Denial of Service (DoS/DDoS) vulnerabilities
These low severity issues can easily be detected with tools such as Hardenize and Security Headers. Missing security headers
The severity of this issue is so low that it does not warrant a report. Content injection
In order for CSRF to be a valid issue it must affect some important action such as deleting one’s account. Logout CSRF
These type of issues do not present a major risk and are usually picked up by scanners. Missing cookie flags on non-security-sensitive cookies
With this issue type it really depends on the program. Check previous reports to the program you plan on reporting 401 injection to and see if they have accepted 401 injection in the pas 401 injection
Without a detailed proof of concept, most programs will not accept these type of reports. Banner grabbing issues (figuring out what web server the company is using)
علیرضا
علیرضا

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

مطالب زیر را حتما بخوانید:

قوانین ارسال دیدگاه در سایت

  • چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد.
  • چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
  • چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
  • چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
  • چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

نظرات کاربران

    متاسفیم! برای ثبت دیدگاه باید وارد شوید!

    لینک کوتاه :
    0