شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
امتیازدهی به گزارش‌ آسیب پذیری در پلتفرم باگ بانتی راورو

امتیازدهی به گزارش‌ آسیب پذیری در پلتفرم باگ بانتی راورو

۹۶۷

هر گزارش آسیب پذیری‌ای که توسط شکارچی آسیب پذیری ثبت می‌شود، با بررسی معیار‌هایی مورد امتیازدهی قرار می‌گیرد. هدف از این روند این است که کیفیت گزارش نویسی شکارچیان مورد ارزیابی و توجه قرار گیرد. در این بلاگ‌پست می‌خواهیم به توضیح دقیق‌تر امتیازدهی گزارش‌ها بپردازیم و به تفصیل بگوییم که هر فیلد در فرم ثبت گزارش آسیب پذیری در پلتفرم باگ بانتی راورو، چه امتیازی را دربردارد.

آن‌چه در این بلاگ‌پست خواهید خواند:

• امتیازدهی به گزارش آسیب پذیری چه زمانی و توسط چه کسی انجام می‌شود؟

• امتیاز هر گزارش چطور محاسبه می‌شود؟

• هر فیلد از گزارش آسیب پذیری چه مقدار امتیاز دارد؟ و براساس چه معیاری ست؟

• فیلد عنوان

• فیلد سناریو و توضیحات گزارش

• فیلد بازه‌ی زمانی فعالیت

• فیلد آدرس IP شکارچی در زمان بررسی

• فیلد آدرس‌ها‌ (URLs)

• فیلد مقدار CVSS

• فیلد حساسیت آسیب پذیری

• فیلد دسته‌بندی آسیب‌پذیری

• فیلد راه‌حل

• فیلد پیوست فایل

• امتیاز ویژه‌ی داوری

• امتیاز گزارش‌ها در کجا استفاده می‌شوند؟

• امتیازدهی برای تمام گزارش‌ها به‌صورت یکسان انجام می‌شود؟

• تکلیف گزارش‌هایی که طبق روال قبلی امتیازدهی شده‌اند، چه می‌شود؟

• وضوح درخصوص اصطلاحات و کلمات به‌کاررفته برای وضعیت گزارش‌ها

• آیا می‌شود به امتیاز اختصاص‌یافته به گزارش آسیب پذیری، اعتراض کرد؟

امتیازدهی به گزارش آسیب پذیری چه زمانی و توسط چه کسی انجام می‌شود؟

در بلاگ‌پست از باگ تا بانتی؛ ۴ مرحله‌ای که هر گزارش آسیب‌پذیری در راورو طی می‌کند به توضیح گام‌به‌گام مراحلی که یک گزارش آسیب پذیری از لحظه‌ای که شکارچی دکمه‌ی ارسال آن را می‌زند تا لحظه‌ای که تایید یا عدم تاییدش را دریافت می‌نماید، پرداخته‌ایم. در این بلاگ‌پست گفته‌ایم که امتیازدهی به گزارش آسیب پذیری، هم‌زمان با ارزیابی نهایی گزارش و توسط تیم داوری راورو انجام می‌شود.

امتیاز هر گزارش چطور محاسبه می‌شود؟

در فرآیند امتیازدهی گزارش‌ها، تمرکز بر روی کیفیت گزارش‌نویسی است.

شکارچی آسیب پذیری هنگام ثبت گزارش، با تعدادی فیلدهای اجباری (عنوان، سناریو و توضیحات گزارش، بازه‌ی زمانی فعالیت، آدرس IP شکارچی در زمان بررسی) و فیلدهای اختیاری ( URLs، مقدار CVSS، حساسیت آسیب پذیری، دسته‌بندی آسیب‌پذیری، راه‌حل و پیوست فایل) مواجه می‌شود. برای هر فیلد، متناسب با موضوع آن امتیازی در نظر گرفته شده است که از دسته‌ی اعداد صحیح اند. مجموع امتیازات فیلدها، امتیاز نهایی گزارش را تشکیل می‌دهد.

پیشنهاد خواندنی:

از باگ تا بانتی؛ ۴ مرحله‌ای که هر گزارش آسیب‌پذیری در راورو طی می‌کند چگونه یک گزارش آسیب‌پذیری بنویسیم؟

هر فیلد از گزارش آسیب پذیری چه مقدار امتیاز دارد؟ و براساس چه معیاری ست؟

در ادامه به توضیح دقیق‌تر معیار و مقدار امتیاز مختص هر فیلد می‌پردازیم:

فیلد عنوان:

معیار امتیازدهی به "عنوان گزارش آسیب پذیری" ، گویا و مرتبط‌بودن آن با محتوای گزارش است. محدوده‌ی امتیاز درنظرگرفته‌شده برای "عنوان گزارش آسیب پذیری ": صفر و ۱

• عنوان گویا و مرتبط با محتوای گزارش: ۱ امتیاز

• عنوان ناواضح، ناکافی و غیرمرتبط با محتوای گزارش: صفر امتیاز

فیلد سناریو و توضیحات گزارش:

معیار امتیازدهی به "سناریو و توضیحات گزارش" به‌طور کلی، وجود توضیحات کافی، روان و شفاف در گزارش است. محدوده‌ی امتیاز درنظرگرفته‌شده برای " سناریو و توضیحات گزارش": ۱، ۲، ۳ و ۴

امتیازدهی به سناریو و توضیحات گزارش، به‌طور دقیق‌تر براساس معیارهای زیر انجام می‌شود:

• توضیح کامل مراحل بازتولید حمله به صورت گام‌به‌گام: ۱ امتیاز

• رعایت جمله‌بندی و شفافیت توضیح: ۱ امتیاز

• ارائه و ذکر درخواست‌های استفاده‌شده در گزارش: ۱ امتیاز

• توضیح تاثیر آسیب‌پذیری گزارش‌شده: ۱ امتیاز

برای مثال: مطابق با توضیحات بالا می‌توان گفت که گزارش‌هایی که بیان روان و واضحی ندارند، از حداکثر ۳ امتیاز برخوردار می‎‌شوند.

پیشنهاد خواندنی: معجزه‌ی "سناریو" در بانتی دریافتی گزارش آسیب‌پذیری

درباره‌ی گزارش‌هایی که در وضعیت "نیازمند به اطلاعات بیش‌تر" قرار می‌گیرند:

چنان‌چه توضیح کافی در فیلد "سناریو و توضیحات گزارش" وجود نداشته باشد، گزارش توسط تیم داوری راورو در وضعیت " نیازمند اطلاعات بیش‌تر" قرار می‌گیرد. سپس شکارچی مدت زمان مشخصی فرصت دارد، تا درجهت افزودن اطلاعات اقدام کند. پس از تکمیل اطلاعات توسط شکارچی این فیلد موردارزیابی و امتیازدهی قرار می‌گیرد. این گزارش‌ها، تنها می‌توانند امتیازی در بازه‌ی ۱ تا ۲ را از فیلد "سناریو و توضیحات گزارش" دریافت نمایند.

درباره‌ی گزارش‌های "تکراری":

معیار دریافت امتیاز از فیلد "سناریو و توضیحات گزارش" برای گزارش‌های تکراری، تکراری یا غیرتکراری بودن سناریوی گزارش نسبت به گزارش مرجع است. سناریوی غیرتکراری از فیلد "سناریو و توضیحات گزارش" ۲، ۳ و یا ۴ امتیاز را دریافت می‌کنند.

• گزارش تکراری با سناریوی مشابه نسبت به گزارش مرجع: ۲ امتیاز

• گزارش تکراری با سناریوی متفاوت نسبت به گزارش مرجع: ۲، ۳ یا ۴ امتیاز

در هنگام بررسی گزارش‌های تکراری، تیم داوری ابتدا فیلد "سناریو و توضیحات گزارش" را موردبررسی قرار می‌دهند:

• چنان‌چه سناریوی گزارش، تکراری باشد، از فیلد "سناریو و توضیحات گزارش" تنها ۲ امتیاز نصیب گزارش می‌شود. سایر فیلدهای مربوط به گزارش تکراری دارای سناریوی تکراری، موردبررسی قرار نمی‌گیرند و هیچ امتیازی شامل حالشان نمی‌شود.

• چنان‌چه سناریوی گزارش، غیرتکراری و متفاوت باشد، از فیلد "سناریو و توضیحات گزارش" ۲، ۳ یا ۴ امتیاز نصیب گزارش می‌شود. سایر فیلدهای مربوط به گزارش نیز مورد بررسی قرار می‌گیرند و متناسب با محتوایشان، امتیاز دریافت می‌کنند. اما در پایان و پس از جمع‌بندی امتیازها، امتیاز کل گزارش، تقسیم بر ۴ می‌شود.

فیلد بازه‌ی زمانی فعالیت:

این فیلد شامل امتیازی در فرآیند امتیازدهی نمی‌شود. لازم به ذکر است که ثبت بازه‌ی زمانی فعالیت صحیح در مواردی که جرمی برروی سامانه‌ی میدان اتفاق بیفتد و یا نیاز به بررسی بیشتر لاگ‌های مربوط به فعالیت باشد، بسیار ضروری و مهم است.

فیلد آدرس IP شکارچی در زمان بررسی:

معیار امتیازدهی به "آدرس IP" ، درست‌بودن آدرس IP واردشده است. محدوده‌ی امتیاز درنظرگرفته‌شده برای آدرس IP: صفر و ۱

• آدرس IP نادرست (شامل آدرس IP کلاس Private و یا غیرقابل قبول): صفر امتیاز

• آدرس IP درست: ۱ امتیاز

فیلد آدرس‌ها‌ (URLs):

معیار امتیازدهی به "آدرس URL" ، مطابقت و مرتبط‌بودن آدرس‌های URL واردشده با سناریو و توضیحات است. محدوده‌ی امتیاز درنظرگرفته‌شده برای آدرس URL : صفر و ۱

• آدرس URL مرتبط و مطابق با شرح گزارش: ۱ امتیاز

• آدرس URL غیرمرتبط نامطابق با شرح گزارش: صفر امتیاز

• عدم ذکر آدرس URL: صفر امتیاز

فیلد مقدار CVSS:

معیار امتیازدهی به "مقدار CVSS"، محاسبه‌ی دقیق مقدار CVSS توسط شکارچی است. محدوده‌ی امتیاز درنظرگرفته‌شده برای مقدار CVSS: صفر، ۱، ۲، ۳

• برابر یا نزدیک بودن مقدار CVSS اعلام‌شده توسط شکارچی با مقدار محاسبه‌شده توسط تیم داوری: ۳ امتیاز

• دور بودن مقدار CVSS اعلام‌شده توسط شکارچی با مقدار محاسبه‌شده توسط تیم داوری: ۱ یا ۲ امتیاز

• عدم اعلام مقدار CVSS توسط شکارچی: صفر امتیاز

فیلد حساسیت آسیب پذیری:

همان‌طور که در توضیح این فیلد نوشته‌ شده است، مقدار حساسیت به صورت خودکار از CVSS محاسبه می‌شود و امتیازی به آن تعلق نمی‌گیرد.

فیلد دسته‌بندی آسیب‌پذیری:

معیار امتیازدهی به "دسته‌بندی آسیب‌پذیری" انتخاب دسته‌بندی مناسب با آسیب‌پذیری گزارشش، از میان دسته‌بندی‌های ارائه‌شده است. محدوده‌ی امتیاز درنظرگرفته‌شده برای دسته‌بندی آسیب پذیری: صفر و ۱

• انتخاب دسته‌بندی درست: ۱ امتیاز

• انتخاب دسته‌بندی نادرست : صفر امتیاز

فیلد راه‌حل:

معیار امتیازدهی به "راه‌حل" اعتبار و میزان کارایی راه‌حل ارائه‌شده است. محدوده‌ی امتیاز درنظرگرفته‌شده برای راه‌حل: صفر، ۱ و ۲و ۳

• ارائه‌ی راه‌حل کلی و عمومی به‌همراه ارائه‌ی راه‌حل اختصاصی، کامل و با دقت بالا: ۳ امتیاز

• ارائه‌ی راه‌حل اختصاصی، کامل و با دقت بالا: ۲ امتیاز

• ارائه‌ی راه‌حل کلی و عمومی: ۱ امتیاز

• عدم ارائه‌ی راه‌حل: صفر امتیاز

فیلد پیوست فایل:

معیار امتیازدهی به "پیوست فایل" ارائه‌ی مستندات و شواهد (عکس، فایل متنی و ویدئو) تشریح کننده در روند اثبات وجود آسیب پذیری است. محدوده‌ی امتیاز درنظرگرفته‌شده برای پیوست فایل: صفر، ۱، ۲، ۳ و ۴

• عکس اثبات گزارش + فایل متنی گزارش (۱ امتیاز)

• فیلم اثبات گزارش‌ ( ۱ تا ۳ امتیاز)

• به ازای ارسال فیلم (۱ امتیاز)

• به ازای ارسال فیلم کل سناریو و فرآیند گزارش شفاف باشد (۲ امتیاز)

• به ازای ارسال فیلم با استاندارد مطلوب (۳ امتیاز)

پیشنهاد خواندنی: بررسی وجود ۵ آسیب پذیری رایج برروی درگاه پرداخت هدف راورو (به همراه ویدئو)

امتیاز ویژه‌ی داوری:

معیار " امتیاز ویژه‌ی داوری" کیفیت کلی گزارش و درک داور از گزارش است. محدوده‌ی امتیاز درنظرگرفته‌شده برای امتیاز ویژه‌ی داوری به انتخاب داور: صفر، ۱ و ۲

امتیاز گزارش‌ها در کجا استفاده می‌شوند؟

امتیاز کسب‌شده توسط هر شکارچی آسیب پذیری، در صفحه‌ی شخصی او و در صفحه‌ی لیست شکارچیان آسیب‌پذیری در پلتفرم باگ بانتی راورو، نمایش داده می‌شوند. یکی از راه‌های انتخاب و دعوت شکارچیان توسط میدان، توجه به این امتیازهاست.

پیشنهاد خواندنی: سطح‌بندی و دسته‌بندی شکارچیان آسیب‌ پذیری در راورو از چه قرار است؟

نشان‌های راورو برای شکارچیان آسیب پذیری

امتیازدهی برای تمام گزارش‌ها به‌صورت یکسان انجام می‌شود؟

هر گزارشی که از سمت شکارچی آسیب پذیری ارسال می‌شود، سرانجام در یکی از این وضعیت‌ها قرار خواهد گرفت: تاییدشده، آموزنده، تکراری، ردشده و اسپم.

• گزارش آسیب پذیری تاییدشده و گزارش آسیب پذیری آموزنده، مطابق با فرمول و روال کلی موردارزیابی و امتیازدهی قرار می‌گیرند. متناسب با کیفیت گزارش و مطابقت با معیارهای ذکرشده، از امتیازی بین ۲ تا ۲۰ برخوردار می‌شوند.

• گزارش آسیب پذیری تکراری، اگر دارای سناریوی جدید و غیرتکراری باشد، پس از امتیازدهی طبق روال، مجموع امتیازاتش تقسیم بر ۴ می‌شود. اما اگر دارای سناریوی تکراری باشد، تنها ۲ امتیاز به آن اختصاص خواهد گرفت.

• گزارش آسیب پذیری ردشده، شامل هیچ امتیازی نمی‌شود.

اسپم ارسال‌شده نیز، ۴۰ امتیاز منفی در برخواهد داشت.

تکلیف گزارش‌هایی که طبق روال قبلی امتیازدهی شده‌اند، چه می‌شود؟

مبنای امتیازدهی گزارش‌ها در روال قبلی بین ۱ تا ۱۰ امتیاز بوده است و در روال امتیازدهی جدید فعلی، بین ۲ تا ۲۰ امتیاز است. جهت تطبیق امتیازهای قبلی با روال فعلی و یکسان‌سازی امتیاز گزارش‌های ثبت‌شده در قبل و بعد از اعمال روال امتیازدهی جدید، تغییری در امتیازهای گزارش‌های قبلی نیاز است. در همین راستا گزارش‌هایی که تا قبل از تاریخ انتشار این بلاگ‌پست، ثبت شده باشند، امتیازشان ۲ برابر خواهد شد.

(وضوح درخصوص اصطلاحات و کلمات به‌کاررفته برای وضعیت گزارش‌ها)

درباره‌ی کلمات و اصطلاحات به‌کاررفته در چند خط قبلی راجع به گزارش‌ها نیاز به وضوح بیش‌تر دارید؟ چند خط بعدی برای شماست. اگر نیازی به آن نمی‌بینید، از آن بگذرید. ؛)

گزارش تاییدشده: گزارش آسیب پذیری ای که از منظر تخصصی درست و غیرتکراری است. ممکن است منجر به بانتی شود یا به دلیل تاثیر پایین آسیب پذیری منجر به بانتی نشود.

گزارش آموزنده: گزارش آسیب پذیری ای که از منظر تخصصی درست و غیرتکراری است و به دلیل تاثیر پایین آسیب پذیری یا خارج از محدوده‌بودن، منجر به بانتی نمی‌شود.

(گزارش آموزنده زیرمجموعه‌ای از گزارش تاییدشده است.)

گزارش تکراری: گزارش آسیب‌پذیری‌ای که از منظر تخصصی درست است. اما قبلا توسط شکارچی آسیب پذیری دیگری گزارش شده است.

گزارش ردشده: گزارش آسیب پذیری ای که به دلایلی رد شده است. دلایلی چون؛ نادرستی از منظر تخصصی، خلاف قوانین میدان (خارج از محدوده‌ی هدف یا...) و عدم وجود تاثیر امنیتی آسیب پذیری.

آیا می‌شود به امتیاز اختصاص‌یافته به گزارش آسیب پذیری، اعتراض کرد؟

چنان‌چه هر شکارچی آسیب پذیری، درمورد امتیاز اختصاص‌یافته به گزارشش اعتراضی داشته باشد، می‌تواند از طریق راه‌ ارتباطی آن را با راهبر دپارتمان شکارچیان راورو درمیان بگذارد. راهبر دپارتمان شکارچیان، اعتراض شکارچی را پیگیری خواهد و درصورت لزوم با تیم داوری راورو نیز مرتبط خواهد شد.

راه‌ ارتباطی:

ارسال پیام به اکانت پشتیبانی راورو در تلگرام ( @RavroSupport )

سخن آخر:

در این بلاگ‌پست به چگونگی و معیار امتیازدهی به گزارش‌های آسیب پذیری پرداختیم. جدول زیر خلاصه‌ای از آن‌چه که گفته‌ایم، است.

Image

بلاگ‌پست‌های مرتبط:

چرا باید حتما قبل از شکار آسیب پذیری، قوانین هدف را بخوانیم؟

چرا گزارش‌های آسیب پذیری رد می‌شوند؟ یا به بانتی کمی منجر می‌شوند؟

چگونه می‌توانم شکارچی دارای تیک آبی شوم؟

گپ‌وگفتی با نسترن سلیمان؛ راهبر دپارتمان شکارچیان راورو

پاسخ به پرسش‌های پرتکرار شکارچیان

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.