گزارش فصلینگاهی گذرا به گزارش‌های آسیب‌پذیری در پلتفرم باگ‌بانتی راورو ۱۴۰۳مشاهده گزارش
از باگ تا بانتی؛ ۴ مرحله‌ای که هر گزارش آسیب‌پذیری در راورو طی می‌کند

از باگ تا بانتی؛ ۴ مرحله‌ای که هر گزارش آسیب‌پذیری در راورو طی می‌کند

۶,۳۰۷

در این مطلب می‌خواهیم پرده‌ها را کنار بزنیم و با شفافیت به بیان این بپردازیم که یک گزارش آسیب‌پذیری از لحظه‌ای که شکارچی دکمه‌ی ارسال آن را می‌زند تا لحظه‌ای که تایید یا عدم تاییدش را دریافت می‌نماید، چه مسیری را طی و از چه مراحلی گذر می‌کند؟ زیرا معتقدیم که هر چه فرآیند ارزیابی گزارش شفاف‌تر بیان شود، درک حالات مختلف آن آسان‌تر خواهد شد و نگاه مشترکی بین راورو، شکارچی و میدان شکل خواهد گرفت.

هر گزارشی که در راورو دریافت می‌شود، در هر یک از مراحل بررسی، مورد امتیازدهی نیز قرار می‌گیرد. امتیازدهی جدای از رد و یا تاییدشدن گزارش است. گزارش‌های تاییدنشده نیز می‌توانند امتیاز مثبت دریافت کنند.

یک گزارش آسیب‌پذیری از زمان ثبت در راورو تا ارزیابی نهایی، به ترتیب مراحل زیر را طی می‌کند:

• بررسی اولیه‌ی تیم راورو

• بررسی تیم داوری

• بررسی میدان

• ارزیابی نهایی

قبل از این‌که سراغ تک‌تک مراحل بالا برویم، لازم است به تعریف اصطلاحات مربوط به حالات گزارش بپردازیم و نکاتی راجع به فرآیند امتیازدهی را نیز بیان کنیم:

گزارش آسیب‌پذیری‌ای که در حال پیمودن هر یک از مراحل بالا باشد، باز و در جریان است و اصطلاحا «فعال» نامیده می‌شود و گزارشی که رد یا تایید شده باشد، «بسته‌شده» نامیده می‌شود.

هر گزارشی که در راورو دریافت می‌شود، در هر یک از مراحل بررسی، مورد امتیازدهی نیز قرار می‌گیرد. امتیازدهی جدای از رد و یا تاییدشدن گزارش است. گزارش‌های تاییدنشده نیز می‌توانند امتیاز مثبت دریافت کنند.

بررسی اولیه‌ی تیم راورو

پس از این‌که شکارچی گزارش آسیب‌پذیری خود را در پنل کاربری خود برای میدان مربوطه ارسال کرد، ایستگاه اول، بررسی اولیه‌ی گزارش آسیب‌پذیری توسط تیم راورو ست. در این مرحله گزارش آسیب‌پذیری و اطلاعات موجود در فرم "ثبت گزارش شکار" از لحاظ جعلی‌نبودن و رعایت چهارچوب‌های لازم یک گزارش آسیب‌پذیری، بررسی و پالایش می‌شوند. به طور معمول این مرحله یک روز کاری طول می‌کشد.

ایستگاه اول، بررسی اولیه‌ی گزارش آسیب‌پذیری توسط تیم راورو ست. در این مرحله  گزارش آسیب‌پذیری و اطلاعات موجود در فرم "ثبت گزارش شکار" از لحاظ جعلی‌نبودن و رعایت چهارچوب‌های لازم یک گزارش آسیب‌پذیری، بررسی و پالایش می‌شوند.

نتیجه‌ی بررسی گزارش‌ پس از بررسی توسط تیم راورو یکی از حالات زیر خواهد بود:

اسپم: در صورت تشخیص جعلی یا اسپم بودن گزارش توسط راورو، وضعیت گزارش به وضعیت بسته‌شده و “اسپم” تغییر می‌کند و فرآیند بررسی گزارش آسیب‌پذیری خاتمه می‌یابد. هم‌چنین ۲۰ امتیاز منفی نیز به گزارش اختصاص می‌يابد.

ردشده: در صورتی که گزارش“اسپم “ یا جعلی نباشد، مطابق چهارچوب معین‌شده نباشد یا اطلاعات موجود در آن ناقص باشد، وضعیت گزارش به وضعیت بسته‌شده و “رد گزارش” تغییر می‌کند. در این حالت شکارچی 2 روز فرصت دارد تا در صورت تمایل درخواست تجدید نظر بدهد و براساس توضیحات اعلام شده، اقدامات لازم جهت تکمیل گزارش را انجام دهد. در این صورت گزارش دوباره در صف بررسی اولیه قرار خواهد گرفت. در چنین موقعیتی تنها شکارچی در پنل کاربری خود وضعیت گزارش خود را در حالت تجدیدنظر می‌بیند وضعیت گزارش در صفحه‌ی «گزارش‌های شکار» برای سایرین به صورت بسته‌شده نمایش داده می‌شود. اگر شکارچی درخواست تجدید نظر نکند، وضعیت گزارش در حالت بسته‌شده و “رد گزارش” باقی می‌ماند و فرآیند خاتمه می‌یابد. اگر گزارش آسیب‌پذیری ناقص ارزیابی شود، و شکارچی اقدام به تکمیل آن نکند، صفر تا سه امتیاز منفی نیز برای شکارچی منظور خواهد شد.

اما منظور از چهارچوب معیًن گزارش آسیب‌پذیری چیست؟ چه مواردی باید در هنگام گزارش‌نویسی رعایت و در گزارش گنجانده شوند؟

• توضیح کامل در مورد آسیب‌پذیری

• مراحل دقیق بازسازی آسیب‌پذیری

• میزان خطر آسیب‌پذیری

• سناریوی حمله و سوءاستفاده

• اثبات آسیب‌پذیری و نحوه‌ی اکسپلویت

• ابزارها، payloadها و کدهای استفاده‌شده در عملیات کشف آسیب‌پذیری و بهره‌جویی از آن

در مطلب «چگونه یک گزارش آسیب‌پذیری بنویسیم؟» می‌توانید درباره‌ی هر یک از موارد بالا بیشتر بخوانید.

برای محاسبه‌ی CVSS یا میزان خطر آسیب‌پذیری‌ کشف‌شده، می‌توان با مراجعه به «ابزار محاسبه‌ی CVSS» امتیاز آن را محاسبه و در گزارش ذکر کرد.

پیش‌ به‌سوی بررسی تیم داوری: در صورتی که گزارش اسپم، جعلی، ناقص و خارج از چهارچوب نباشد، تایید می‌شود و وضعیت گزارش آسیب‌پذیری به “بررسی تیم داوری” تغییر می‌کند.

بررسی تیم داوری

در مرحله‌ی بعد، این تیم داوری است که گزارش آسیب‌پذیری را مورد بررسی قرار می‌دهد.

باتوجه به نوع قرارداد میدان با راورو، تیم داوری می‌تواند شامل داوران راورو باشد و یا از سوی میدان تعیین شده باشد. در حالت دوم، راورو در ارزیابی تیم داوری دخالتی نخواهد داشت. در این بررسی گزارش از جهات زیر مورد بررسی قرار می‌گیرد:

درستی یا نادرستی: آیا محتویات گزارش آسیب‌پذیری از نگاه فنی و تخصصی درستند؟

کامل‌بودن یا نیازمند اطلاعات بیشتر: آیا نیاز است شکارچی برای توضیح دقیق‌تر اطلاعاتی را تکمیل کند؟

مطابقت با قوانین تعیین‌شده از جانب میدان؛ آیا آسیب‌پذیری کشف‌شده در دامنه‌ی تعریف‌شده در هدف قرار دارد؟ در محدوده‌ی مجاز است یا غیرمجاز؟ آیا از دسته‌ی آسیب‌پذیری‌های قابل‌قبول است؟

در صورتی که گزارش اسپم، جعلی، ناقص و خارج از چهارچوب نباشد، تایید می‌شود و تیم داوری گزارش آسیب‌پذیری را مورد بررسی قرار می‌دهد.

این مرحله معمولا ۵ روز طول می‌کشد. و نتیجه‌ی بررسی تیم داوری یکی از حالات زیر خواهد بود:

گزارش تکراری: تابه‌حال، ۶۱ درصد گزارش‌های دریافتی راورو از شکارچیان صحیح اما ۱۷% این گزارش‌ها تکراری بوده‌اند. زمانی که تیم داوری به این نتیجه برسد که گزارش، تکراری و مشابه گزارش‌های ثبت‌شده‌ی قبلی است، در این حالت، گزارش نه در دسته‌ی گزارش‌های تاییدشده قرار می‌گیرد و نه در دسته‌ی گزارش‌های ردشده، بلکه به حالت بسته‌شده و “گزارش تکراری” تغییر می‌کند. در این حالت شناسه‌ی گزارش اصلی که منجر به برآورد وضعیت "گزارش تکراری" شده است به شکارچی مربوطه اعلام می‌گردد. گزارش تکراری، در وضعیت “بسته‌شده” قرار می‌گیرد و از دریافت بانتی جا می‌ماند، اما از پروسه‌ی امتیازدهی، نه. گزارش تکراری تنها امتیاز درنظرگرفته‌شده برای گزارش‌های غیرتکراری را از دست می‌دهد ولی فرصت دریافت سایر امتیازها را دارد.

اما در چه صورتی یک گزارش، تکراری محسوب می‌شود؟

• زمانی که Endpoint آسیب‌پذیری‌ کشف‌شده‌ی شما با Endpoint گزارشی دیگر یکسان باشد. در این صورت عملا دو گزارش به یک نقطه آسیب‌پذیر یکسان رسیده‌اند.

• اگر گزارشی به آسیب‌پذیری مشترکی با گزارش دیگری اشاره کند که آسیب‌پذیری موردنظر در چندین نقطه از سامانه وجود داشته باشد و اکسپلویت آن تاثیر کلی بر روند عادی سامانه بگذارد.

نیازمند اطلاعات بیشتر: اگر تیم داوری به این نتیجه برسد که گزارش آسیب‌پذیری شما ناقص است و نیاز به تکمیل دارد، وضعیت گزارش به حالت “نیازمند اطلاعات بیشتر” تغییر می‌کند. تیم داوری هنگام اعلام این وضعیت به شکارچی، درخواست تکمیل اطلاعات می‌کند. به شکارچی ۷ روز فرصت داده می‌شود تا اطلاعات بیش‌تری از آسیب‌پذیری کشف‌کرده‌ی خود ارائه دهد تا بررسی دقیق‌تری بر روی گزارش آسیب‌پذیری صورت بگیرد.

در صورت تکمیل اطلاعات توسط شکارچی، گزارش آسیب‌پذیری در وضعیت “بازبینی مجدد تیم داوری” قرار می‌گیرد.

اگر شکارچی اطلاعات تکمیلی را ارسال نکند، وضعیت گزارش به "رد گزارش - گزارش ناقص" تغییر می‌کند و فرآیند بررسی گزارش آسیب‌پذیری خاتمه می‌يابد.

رد گزارش: در صورتی که گزارش از نگاه فنی و تخصصی رد شده باشد، وضعیت گزارش در حالت بسته‌شده و “رد گزارش” قرار می‌گیرد. شکارچی تا ۲ روز فرصت دارد تا درخواست تجدیدنظر بدهد. در صورتی که شکارچی درخواست تجدیدنظر کند، گزارش آسیب‌پذیری به ابتدای مرحله‌ی "بررسی تیم داوری" برخواهد گشت. در این‌جا نیز حالت تجدیدنظر تنها برای شکارچی قابل رویت است و سایرین گزارش را تنها در حالت بسته‌شده و “رد گزارش” اگر شکارچی درخواست تجدیدنظر نکند، وضعیت گزارش در حالت “رد گزارش” می‌ماند و فرآیند ارزیابی گزارش آسیب‌پذیری خاتمه می‌یابد.

به سمت بررسی میدان: در صورت تایید فنی و تخصصی گزارش آسیب‌پذیری، وضعیت آن از بررسی تیم داوری به “بررسی میدان” تغییر می‌کند.

بررسی میدان

پس از تایید گزارش توسط تیم داوری، گزارش آسیب‌پذیری به همراه ارزیابی و ارزش‌گذاری پیشنهادی راورو، برای میدان ارسال می‌شود. میدان، گزارش‌های ارسالی را از منظر تخصصی، فنی و میزان حساسیت برای کسب‌وکار بررسی می‌کند. در ادامه، میدان علاوه‌بر مشخص‌کردن زمان رفع آسیب‌پذیری، پیشنهاد ارزیابی خود از آسیب‌پذیری را برای راورو ارسال می‌کند و سپس وضعیت گزارش به “ارزیابی نهایی” تغییر می‌کند. اگر میدان در مدت زمان تعیین‌شده نتیجه‌ی ارزیابی خود از گزارش دریافتی را مطابق با SLA، ارسال نکند، ارزیابی تیم‌ داوری به عنوان ارزیابی نهایی در نظر گرفته خواهد شد و وضعیت گزارش به “ارزیابی نهایی” تغییر می‌کند.

ارزیابی نهایی

تمامی گزارش‌های فعال و بسته‌شده (در هر مرحله‌ای و به هر دلیلی) در انتهای مسیر خود مورد ارزیابی نهایی قرار می‌گیرند. در این مرحله تیم داوری راورو به بررسی و جمع‌بندی نهایی گزارش آسیب‌پذیری می‌پردازد. در این جمع‌بندی، تیم راورو بازنگری کوتاهی بر تک‌تک مراحل پیشین خواهند داشت و مطابق با فعل و انفعالات صورت‌گرفته در هر مرحله امتیازهایی را به گزارش آسیب‌پذیری اختصاص می‌دهند. سپس نتیجه‌ی کار خود را به میدان و شکارچی اعلام می‌کنند. در این مرحله است که وضعیت نهایی گزارش آسیب‌پذیری مشخص می‌شود و به یکی از حالات “تایید گزارش” یا “رد گزارش” تغییر می‌کند. درصورت "تایید گزارش"، میدان در مدت زمان تعیین‌شده و مطابق با قرارداد SLA، حساب کاربری خود را به اندازه‌ی هزینه‌ی گزارش نهایی‌شده شارژ می‌کند، تا ادامه‌ی مراحل پرداخت برای شکارچی انجام شود.

امتیازدهی به گزارش

همان‌طور که در ابتدای متن نیز اشاره کردیم، ثبت گزارش آسیب‌پذیری توسط شکارچی در راورو علاوه بر اینکه می‌تواند به دریافت پاداش و یا رد گزارش آسیب‌پذیری منجر شود، در راورو نیز امتیازی برایش در نظر گرفته می‌شود:

تایید گزارش: ۴ امتیاز مثبت

تکراری بودن گزارش: ۱ امتیاز مثبت

عنوان مناسب گزارش: ۰.۵ امتیاز مثبت

انتخاب دسته‌بندی مناسب آسیب‌پذیری و محاسبه‌ی دقیق CVSS آسیب‌پذیری: ۱ امتیاز مثبت

نوشتن Write-up کامل: ۱.۵ امتیاز مثبت

ارسال مستندات مانند فیلم و تصویر از روند کشف آسیب‌پذیری و اکسپلویت: ۰.۵ امتیاز مثبت

ارسال راه‌حل: ۱ امتیاز مثبت

عدم نیاز به اصلاحیه ( درخواست مستندات بیشتر از سمت تیم داوری ): ۱ امتیاز مثبت

حساسیت گزارش بر اساس CVSS تعیین شده از سمت تیم داوری: ۰.۵ امتیاز مثبت

اسپم: ۲۰ امتیاز منفی

رد گزارش به دلیل قابل‌ بهره‌جویی نبودن یا عدم وجود حساسیت برای میدان: ۰ امتیاز

رد گزارش به دلیل نقص اطلاعات: ۳ امتیاز منفی

همان‌طور که می‌بینید، اکثر معیارهایی که بیان کردیم، با مواردی که در چهارچوب معمول یک گزارش آسیب‌پذیری ذکر کردیم متناظرند که می‌توانید در مطلب «چگونه یک گزارش آسیب‌پذیری بنویسیم» در این باره بیشتر بخوانید.

زمانی که گزارش آسیب‌پذیری توسط تیم داوری تایید شود، فرآیند پرداخت به جریان می‌افتد. پاداش محاسبه‌شده برای گزارش ارسالی، پس از تایید گزارش آسیب‌پذیری و تامین آن از سمت میدان انجام می‌شود. در صورتی که اطلاعات حساب بانکی شما مورد تایید نباشد، به شما اطلاع می‌دهیم که اقدامات لازم جهت تکمیل بخش پرداخت حساب کاربری خود را انجام دهید. توجه داشته باشید که فرآیند پرداخت معمولا تا پنج روز پس از تایید اطلاعات حساب بانکی شما طول می‌کشد.

زمانی که گزارش آسیب‌پذیری توسط تیم داوری تایید شود، فرآیند پرداخت به جریان می‌افتد. پاداش محاسبه‌شده برای گزارش ارسالی، پس از تایید گزارش آسیب‌پذیری و تامین آن از سمت میدان انجام می‌شود.

گاهی اوقات، گزارش آسیب‌پذیری شما مورد تایید است اما مشمول پرداخت پاداش نمی‌شود. این حالت زمانی رخ می‌دهد که آسیب‌پذیری کشف‌شده از جمله آسیب‌پذیری‌هایی بوده است که برای میدان اهمیت نداشته است و یا میدان از قبل مشخص کرده است که این آسیب‌پذیری مشمول بانتی نمی‌شود و پاداشی برای این آسیب‌پذیری پرداخت نخواهد کرد اما راورو برای شما امتیازات کسب‌شده را لحاظ می‌کند.

رد گزارش

دلایل رد گزارش آسیب‌پذیری شما شامل حالت‌های زیر می‌شود:

• گزارش‌های جعلی (اسپم)

• نداشتن حساسیت کافی برای میدان

• خارج از چهارچوب بودن گزارش

• نرسیدن به اکسپلویت

• ناقص بودن گزارش

تجدیدنظر

شایان ذکر است که اگر به دلایلی به نتیجه‌ی ارزیابی نهایی تیم داوری (رد گزارش یا تایید آن با مبلغ غیر موردنظر شما) معترض هستید، حداکثر دو روز کاری فرصت درخواست تجدیدنظر را خواهید داشت تا دلایل و شواهد خود را به همراه مستندات لازم ارسال کنید. در این فرآیند، در صورتی که هیچ‌گونه درخواست تجدیدنظری از طرف شکارچی و یا میدان اعلام نشود، برآورد تعیین شده گزارش آسیب‌پذیری شما، تایید می‌شود و سپس وضعیت گزارش آسیب‌پذیری شما به "بسته‌شده" تغییر می‌کند و فرآیند بررسی گزارش آسیب‌پذیری شما خاتمه می‌يابد.

Image

سخن آخر

ما در این مطلب تلاش خود را بر تشریح فرآیند بررسی گزارش‌های آسیب‌پذیری در راورو از لحظه‌ی ثبت آن‌ها تا تعیین نتیجه قرار دادیم؛ به مسیری پرداختیم که از بررسی اولیه و ارسال آن‌ها به مرحله‌ی بررسی تیم داوری شروع می‌شود و تا ارزیابی نهایی ادامه دارد، هدف ما آن بود که شفافیت بیشتری را برای شما مهیا کنیم. اگر سوالی درباره‌ی این روند دارید خوشحال می‌شویم که آن‌ها را با ما در میان بگذارید.