گزارش یک باگ نیازمند رعایت نکاتی است که، تخطی از آن می‌تواند درک باگ را از روی گزارش دچار ابهام کند. گزارشی که تمام این نکات را در خود بگنجاند، یک گزارش مناسب است. البته بسیاری از ابزارهای Defect And Change Management که مسئولیت Bug Reporting دارند، سعی می‌کنند زیرساختی برای تهیه این پارامترها به صورت Agile ارائه کنند، تا حتی المقدور زمان کمتری از گزارش‌دهنده گرفته شود.

 

هنر گزارش دادن باگ یا آسیب پذیری 

  1. یک خلاصه کوتاه از باگ یا آسیب پذیری درج کنید
  2. جزئیات باگ را در محلی قرار بدید که بالاترین رو داشته باشه
  3. تشریح کنید چگونه باگ را پیدا کردید و چه رد پا هایی را باید دنبال کرد تا به آن رسید
  4. محل و محیطی که باگ در آن پیدا شده را توضیح دهید
  5. زمان و تاریخ یافتن باگ را ذکر کنید
  6. باگ را به درستی توصیف کنید ، طوری که دیگران بتوانند تشخیص دهند
  7. عواقب ، خطرات و صدماتی باگ را توضیح دهید و آن را پرنگ کتید
  8. در صورت امکان راه حل های رفع آسیب پذیری یا باگ را توضیح دهید بصورت خلاصه

 

 

رفع باگ و انتشار وصله – تا زمانیکه وصله مربوطه در تمامی محصولات مرتبط منتشر و در دسترس کاربران قرار گیرد نباید آسیب‌پذیری به هیچ طریقی افشا شود. با توجه به اینکه همه کاربران بلافاصله نرم افزار خود را آپدیت نمی‌کنند باید زمانی برای انتشار کامل وصله در نظر گرفته شود تا کاربران آسیبی نبینند. ضمن اینکه خود رفع برخی موارد ممکن است زمانبر بوده یا ملاحظاتی داشته باشد که توسط تیم پلتفرم باگ بانتی تصمیم‌گیری شده و به اطلاع شرکت‌کننده می‌رسد که پس از آن هکر امکان عمومی کردن آسیب پذیری را داشته باشد.

 

فرمت ارسال گزارش

جهت ارتباط صحیح لازم است در گزارش‌های ارسالی موارد زیر قید شده باشد:

نمونه ساده ارسال گزارش :

سلام تیم امنیت IBM  ،
من این رفتار را در وب سایت شما مشاهده می کنم و پیچیدگی ضعیف رمز عبور را مجبور و دور زدم و یک حساب کاربری ایجاد کردم . مراحل انجام  در زیر آمده است.

  1. وارد شدن به آدرس acc.target.com
  2. باز کردن فرم ثبت نام
  3. همه قسمت ها را پر کنید ، اما وقتی به رمز عبور رسیدید ، پسورد روبرو را وارد کنید : “azfvnghhglirewaxvhd”
  4. و میبینیم که حساب شما با موفقیت ایجاد می شود با این نوع رمز عبور ساده ایجاد شد و به راحتی می توان آن را حدس زد.پیشنهاد نحوه رفع این مشکل:
    مطابق خط مشی رمز عبور برای انتخاب رمز عبور ایمن و پیچیده ، باید نکات زیر را در خط مشی رمز عبور در نظر بگیریم:
    گذرواژه‌ها باید از سه چهارم از چهار نوع کاراکتر زیر استفاده کنند:
    1.حرف کوچک
    2. حرف بزرگ
    3. اعداد
    4. کاراکتر های خاص مانند! @ # $٪ ^ & * () {} []

* طول پسورد حتما باید بیشتر از 8 رقم باشد

در مراحل انجام تست می توانید رمز عبوری را ببینید که “Azfvnghhglirewaxvhd” است. هیچ حروف بزرگ به اجبار وجود ندارد ، هیچ شماره ای مجبور و کاراکتر خاصی که توسط وب سایت شما مجبور شده اند وجود ندارد. اگر می خواهید پیچیدگی رمز عبور خود را خوب کنید ، باید این چهار نکته را در قسمت رمز عبور خود که در بالا نوشته شده است در نظر بگیرید.
من معمولاً هنگام مراجعه به وب سایت های دیگر و به دنبال ثبت نام کاربری می شوم و هنگام نوشتن رمز عبور با رمز مشاهده می کنم که این نقاط پیچیدگی رمز عبور توسط وب سایت مجبور شده اند و شما نمی توانید یک پسورد مانند “Azfvnghhglirewaxvhd” درست کنید که به راحتی توسط کسی حدس زده می شود.

امیدوارم این مورد را توجه قرار دهید .
با تشکر Morgellonser

 

الزامات شرکت در برنامه

 

The Hall of N/A

لیستی از موضوعاتی که معمولاً توسط برنامه های باگ باونتی پذیرفته نمی شوند.

Description Issue type
Most bug bounty programs, if not all programs, do not want you to disrupt any of their services. On top of that, to be honest with you, if someone really wants to take down a service they will always find a way. Network-level Denial of Service (DoS/DDoS) vulnerabilities
These low severity issues can easily be detected with tools such as Hardenize and Security Headers. Missing security headers
The severity of this issue is so low that it does not warrant a report. Content injection
In order for CSRF to be a valid issue it must affect some important action such as deleting one’s account. Logout CSRF
These type of issues do not present a major risk and are usually picked up by scanners. Missing cookie flags on non-security-sensitive cookies
With this issue type it really depends on the program. Check previous reports to the program you plan on reporting 401 injection to and see if they have accepted 401 injection in the pas 401 injection
Without a detailed proof of concept, most programs will not accept these type of reports. Banner grabbing issues (figuring out what web server the company is using)