در این بخش به تشریح نحوه‌ی محاسبه امتیاز گزارش می‌پردازیم.

امتیاز هر گزارش چطور محاسبه می‌شود؟

---

در فرآیند امتیازدهی گزارش‌ها، تمرکز بر روی کیفیت گزارش‌نویسی است.

شکارچی هنگام ثبت گزارش، با بخش‌های اجباری (عنوان، سناریو و توضیحات گزارش، بازه‌ی زمانی فعالیت، آدرس IP شکارچی در زمان بررسی) و بخش‌های اختیاری ( URLs، مقدار CVSS، حساسیت آسیب پذیری، دسته‌بندی آسیب‌پذیری، راه‌حل و پیوست فایل) مواجه می‌شود. برای هر بخش، متناسب با موضوع آن امتیازی در نظر گرفته شده است که از دسته‌ی اعداد صحیح اند. مجموع امتیازات بخش‌ها، امتیاز نهایی گزارش را تشکیل می‌دهد.

در ادامه به توضیح دقیق‌تر معیار و مقدار امتیاز مختص هر بخش می‌پردازیم:

 بخش عنوان:

---

معیار امتیازدهی به "عنوان گزارش آسیب پذیری" ، گویا و مرتبط‌بودن آن با محتوای گزارش است.

امتیاز درنظرگرفته‌شده برای "عنوان گزارش آسیب پذیری ": صفر و ۱ است.

• عنوان گویا و مرتبط با محتوای گزارش: ۱ امتیاز

• عنوان ناواضح، ناکافی و غیرمرتبط با محتوای گزارش: صفر امتیاز

 بخش سناریو و توضیحات گزارش:

---

معیار امتیازدهی به "سناریو و توضیحات گزارش" به‌طور کلی، وجود توضیحات کافی، روان و شفاف در گزارش است.

• محدوده‌ی امتیاز درنظرگرفته‌شده برای " سناریو و توضیحات گزارش ": ۱، ۲، ۳ و ۴امتیازدهی به سناریو و توضیحات گزارش، به‌طور دقیق‌تر براساس معیارهای زیر انجام می‌شود:

  • توضیح کامل مراحل بازتولید حمله به صورت گام‌به‌گام: ۱ امتیاز

  • رعایت جمله‌بندی و شفافیت توضیح: ۱ امتیاز

  • ارائه و ذکر درخواست‌های استفاده‌شده در گزارش: ۱ امتیاز

  • توضیح تاثیر آسیب‌پذیری گزارش‌شده: ۱ امتیاز

مثال: مطابق با توضیحات بالا می‌توان گفت که گزارش‌هایی که بیان روان و واضحی ندارند، از حداکثر ۳ امتیاز برخوردار می‎‌شوند.

درباره‌ی گزارش‌های "نیازمند به اطلاعات بیش‌تر"

• چنان‌چه توضیح کافی در بخش "سناریو و توضیحات گزارش " وجود نداشته باشد، گزارش توسط تیم داوری راورو در وضعیت " نیازمند اطلاعات بیش‌تر" قرار می‌گیرد. سپس شکارچی مدت زمان مشخصی فرصت دارد، تا درجهت افزودن اطلاعات اقدام کند. پس از تکمیل اطلاعات توسط شکارچی این بخش موردارزیابی و امتیازدهی قرار می‌گیرد.

• این گزارش‌ها، تنها می‌توانند امتیازی در بازه‌ی ۱ تا ۲ را از بخش "سناریو و توضیحات گزارش" دریافت کنند.

درباره‌ی گزارش‌های "تکراری":

• معیار دریافت امتیاز از بخش "سناریو و توضیحات گزارش" برای گزارش‌های تکراری، تکراری یا غیرتکراری بودن سناریوی گزارش نسبت به گزارش مرجع است.

• سناریوی غیرتکراری از بخش "سناریو و توضیحات گزارش" ۲، ۳ و یا ۴ امتیاز را دریافت می‌کنند.

  • گزارش تکراری با سناریوی مشابه نسبت به گزارش مرجع: ۲ امتیاز

  • گزارش تکراری با سناریوی متفاوت نسبت به گزارش مرجع: ۲، ۳ یا ۴ امتیاز

• در هنگام بررسی گزارش‌های تکراری، تیم داوری ابتدا بخش "سناریو و توضیحات گزارش" را مورد بررسی قرار می‌دهند:

  • چنان‌چه سناریوی گزارش، تکراری باشد، از بخش "سناریو و توضیحات گزارش" تنها ۲ امتیاز نصیب گزارش می‌شود. سایر بخش های مربوط به گزارش تکراری دارای سناریوی تکراری، موردبررسی قرار نمی‌گیرند و هیچ امتیازی شامل حالشان نمی‌شود.

  • چنان‌چه سناریوی گزارش، غیرتکراری و متفاوت باشد، از بخش "سناریو و توضیحات گزارش" ۲، ۳ یا ۴ امتیاز نصیب گزارش می‌شود. سایر بخش‌های مربوط به گزارش نیز مورد بررسی قرار می‌گیرند و متناسب با محتوایشان، امتیاز دریافت می‌کنند. اما در پایان و پس از جمع‌بندی امتیازها، امتیاز کل گزارش، تقسیم بر ۴ می‌شود.

 بخش بازه‌ی زمانی فعالیت:

---

این بخش شامل امتیازی در فرآیند امتیازدهی نمی‌شود.

لازم به ذکر است که ثبت بازه‌ی زمانی فعالیت صحیح در مواردی که جرمی برروی سامانه‌ی میدان اتفاق بیفتد و یا نیاز به بررسی بیشتر لاگ‌های مربوط به فعالیت باشد، بسیار ضروری و مهم است.

 بخش آدرس IP شکارچی در زمان بررسی:

---

معیار امتیازدهی به "آدرس IP" ، درست‌بودن آدرس IP واردشده است.

• محدوده‌ی امتیاز درنظرگرفته‌شده برای آدرس IP: صفر و ۱

  • آدرس IP نادرست (شامل آدرس IP کلاس Private و یا غیرقابل قبول): صفر امتیاز

  • آدرس IP درست: ۱ امتیاز

 بخش آدرس‌ها‌ (URLs):

---

معیار امتیازدهی به "آدرس URL" ، مطابقت و مرتبط‌بودن آدرس‌های URL واردشده با سناریو و توضیحات است.

• محدوده‌ی امتیاز درنظرگرفته‌شده برای آدرس URL : صفر و ۱

  • آدرس URL مرتبط و مطابق با شرح گزارش: ۱ امتیاز

  • آدرس URL غیرمرتبط نامطابق با شرح گزارش: صفر امتیاز

  • عدم ذکر آدرس URL: صفر امتیاز

 بخش مقدار CVSS:

---

معیار امتیازدهی به "مقدار CVSS"، محاسبه‌ی دقیق مقدار CVSS توسط شکارچی است.

• محدوده‌ی امتیاز درنظرگرفته‌شده برای مقدار CVSS: صفر، ۱، ۲، ۳

  • برابر یا نزدیک بودن مقدار CVSS اعلام‌شده توسط شکارچی با مقدار محاسبه‌شده توسط تیم داوری: ۳ امتیاز

  • دور بودن مقدار CVSS اعلام‌شده توسط شکارچی با مقدار محاسبه‌شده توسط تیم داوری: ۱ یا ۲ امتیاز

  • عدم اعلام مقدار CVSS توسط شکارچی: صفر امتیاز

 بخش حساسیت آسیب‌پذیری:

---

همان‌طور که در توضیح این بخش نوشته‌ شده است، مقدار حساسیت به صورت خودکار از CVSS محاسبه می‌شود و امتیازی به آن تعلق نمی‌گیرد.

 بخش دسته‌بندی آسیب‌پذیری:

---

معیار امتیازدهی به "دسته‌بندی آسیب‌پذیری" انتخاب دسته‌بندی مناسب با آسیب‌پذیری گزارش، از میان دسته‌بندی‌های ارائه‌شده است.

• محدوده‌ی امتیاز درنظرگرفته‌شده برای دسته‌بندی آسیب پذیری: صفر و ۱

  • انتخاب دسته‌بندی درست: ۱ امتیاز

  • انتخاب دسته‌بندی نادرست : صفر امتیاز

 بخش راه‌حل:

---

معیار امتیازدهی به "راه‌حل" اعتبار و میزان کارایی راه‌حل ارائه‌شده است.

• محدوده‌ی امتیاز درنظرگرفته‌شده برای راه‌حل: صفر، ۱ و ۲ و ۳

  • ارائه‌ی راه‌حل کلی و عمومی به‌همراه ارائه‌ی راه‌حل اختصاصی، کامل و با دقت بالا: ۳ امتیاز

  • ارائه‌ی راه‌حل اختصاصی، کامل و با دقت بالا: ۲ امتیاز

  • ارائه‌ی راه‌حل کلی و عمومی: ۱ امتیاز

  • عدم ارائه‌ی راه‌حل: صفر امتیاز

 بخش پیوست فایل:

---

معیار امتیازدهی به "پیوست فایل" ارائه‌ی مستندات و شواهد (عکس، فایل متنی و ویدئو) تشریح کننده در روند اثبات وجود آسیب‌پذیری است.

• محدوده‌ی امتیاز درنظرگرفته‌شده برای پیوست فایل: صفر، ۱، ۲، ۳ و ۴

  • عکس اثبات گزارش + فایل متنی گزارش (۱ امتیاز)

  • فیلم اثبات گزارش‌ ( ۱ تا ۳ امتیاز)

  • به ازای ارسال فیلم (۱ امتیاز)

  • به ازای ارسال فیلم کل سناریو و فرآیند گزارش شفاف باشد. (۲ امتیاز)

  • به ازای ارسال فیلم با استاندارد مطلوب (۳ امتیاز)

 امتیاز ویژه‌ی داوری:

---

معیار " امتیاز ویژه‌ی داوری" کیفیت کلی گزارش و درک داور از گزارش است.

• محدوده‌ی امتیاز درنظرگرفته‌شده برای امتیاز ویژه‌ی داوری به انتخاب داور: صفر، ۱ و ۲ است.