Bug Bounty. Написание хорошего отчета.
Работа багхантера заключается не только в поиске уязвимостей; но, также, происходит в объяснении их службе безопасности организации. Если Вы предоставите хорошо написанный отчет, Вы поможете команде, с которой Вы работаете, воспроизвести эксплойт, назначить его соответствующую внутреннюю команду инженеров и решить проблему быстрее. Чем быстрее уязвимость будет устранена, тем меньше вероятность того, что злоумышленники воспользуются ею. В этом разделе я разберу компоненты хорошего отчета об уязвимостях, и познакомлю Вас с некоторыми советами и приемами, которые я изучил на этом пути.
Шаг 1: Создайте описательный заголовок
Первая часть хорошего отчета об уязвимостях всегда носит описательный заголовок. Укажите цель для названия, которое резюмирует проблему в одном предложении. В идеале он должен позволять службе безопасности, сразу получить представление о том, что это за уязвимость, где она произошла, и ее потенциальную тяжесть. Для этого он должен ответить на следующие вопросы: Какую уязвимость Вы нашли? Это пример известного типа уязвимости, такую как IDOR или XSS? Где Вы его нашли в целевом приложении?
Например, вместо заголовка отчета «IDOR на критической конечной точке» используйте такой, как «IDOR на https://example.com/change_password ведет к учетной записи поглощения для всех пользователей». Ваша цель — дать инженеру по безопасности чтение Вашего отчета, и это дает хорошее представление о содержании, которое Вы будете обсуждать в остальной части.
Шаг 2: Предоставьте четкое резюме
Далее предоставьте сводку отчета. В этом разделе содержится вся необходимая информация, и Вы не смогли описать все в заголовке, как и параметры HTTP-запроса, используемый для атаки, как Вы его нашли и так далее.
Вот пример эффективной сводки отчета:
Конечная точка https://example.com/change_password принимает два запроса POST, параметра body: user_id и new_password. POST-запрос к этой конечной точке изменит пароль пользователя user_id на новом пароле. Эта конечная точка не проверяет параметр user_id, и в результате любой пользователь может сменить чужой пароль, манипулируя параметром user_id.
Резюме хорошего отчета должно быть четким и кратким. В нем содержится вся информация, которое дает понимание уязвимости, в том числе, что это за ошибка, где обнаружена ошибка и что может сделать злоумышленник, когда она будет использована.
Шаг 3. Включите оценку серьезности
Ваш отчет также должен включать честную оценку серьезности ошибки. Помимо работы с Вами, над устранением уязвимостей, группы безопасности выполняют другие обязанности, к которым нужно стремиться. Включение оценки серьезности поможет расставить приоритеты, какие уязвимости нужно исправить в первую очередь, и гарантируют, чтобы сразу же позаботиться о критических уязвимостях.
Вы можете использовать следующую шкалу для сообщения серьезности:
Ошибка не может нанести большой ущерб. Например, открытое перенаправление, которое можно использовать только для фишинга, является ошибкой с низким уровнем серьезности.
Ошибка оказывает умеренное влияние на пользователей или организацию, либо это проблема высокой степени серьезности, которую злоумышленнику сложно использовать. Команда безопасности должна в первую очередь сосредоточиться на ошибках высокой и критической важности. Например, подделка межсайтовых запросов (CSRF) для конфиденциального действия, такого как, изменение пароля, часто считается проблемой средней степени серьезности.
Ошибка затрагивает большое количество пользователей, и ее последствия могут быть катастрофическими для этих пользователей. Команда безопасности должна исправить ошибку как можно скорее. Например, открытая переадресация, которую можно использовать в краже токенов OAuth — это ошибка высокой степени серьезности.
Ошибка затрагивает большую часть пользовательской базы или ставит под угрозу деятельность основной инфраструктуры организации. Команда безопасности должна исправить критическую ошибку сразу. Например, SQL-инъекция, ведущая к удаленному коду выполнение (RCE) на производственном сервере будет считаться критической проблемой.
Изучите общую систему оценки уязвимостей (CVSS) на странице https://www.first.org/cvss/, чтобы получить общее представление о том, насколько критичен каждый тип уязвимости.
Шкала CVSS учитывает такие факторы, как влияние уязвимости на организации, насколько сложно эксплуатировать уязвимость и требует ли уязвимость каких-либо специальных привилегий или взаимодействия с пользователем для использования.
Затем попытайтесь представить, что заботит вашу компанию-клиента, и что уязвимости окажут наибольшее влияние на бизнес. Настройте свою оценку в соответствии с бизнес-приоритетами клиента. Например, сайт знакомств.
Можно найти ошибку, которая выставляет дату рождения пользователя как несущественную, поскольку возраст пользователя уже является общедоступной информацией на сайте, а сайт поиска работы может счесть подобную ошибку существенной, потому что возраст заявителя должен быть конфиденциальным в процессе поиска работы. С другой стороны, утечки информации о пользователях банковской информации почти всегда считается проблемой высокой степени серьезности.
Если Вы не уверены, к какому уровню серьезности относится ваша ошибка, используйте рейтинг платформы Bug Bounty. Например, рейтинговая система Bugcrowd учитывает тип уязвимости и затронутую функциональность (https://bugcrowd.com/vulnerability-rating-taxonomy/), а HackerOne предоставляет калькулятор серьезности на основе шкалы CVSS (https://docs.hackerone.com/hackers/severity.html).
Вы можете указать серьезность в одной строке следующим образом: