شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
میدان چه زمانی به گزارش آسیب پذیری ثبت‌شده‌ دسترسی می‌یابد؟

میدان چه زمانی به گزارش آسیب پذیری ثبت‌شده‌ دسترسی می‌یابد؟

۱۲۲

هر گزارش آسیب پذیری که در راورو ثبت می‌شود، مراحل زیر را طی می‌کند: بررسی اولیه، بررسی تیم داوری، بررسی میدان و ارزیابی نهایی. در این بلاگ‌پست می‌خواهیم به جزئیات بیشتری از این روند بپردازیم. جزئیاتی نظیر؛ آیا تمام گزارش‌های آسیب پذیری ثبت‌شده، در دسترس میدان قرار می‌گیرند؟ِ آیا میدان، بلافاصله پس از ثبت هر گزارش آسیب پذیری به آن دسترسی می‌یابد؟ آیا هر گزارش، پس از مرحله بررسی تیم داوری، برای میدان ارسال می‌شود؟ 

پیشنهاد خواندنی: از باگ تا بانتی؛ ۴ مرحله‌ای که هر گزارش آسیب‌پذیری در راورو طی می‌کند 

آن‌چه در این بلاگ‌پست خواهید خواند: 

مراحل اولیه قبل از دسترسی میدان به گزارش آسیب‌پذیری 

بررسی موجودی شارژ حساب میدان قبل از دسترسی به گزارش آسیب‌پذیری 

چرا این روند و تمهیدات ایجاد شده‌اند؟ 

مراحل اولیه قبل از دسترسی میدان به گزارش آسیب‌پذیری 

هنگامی که یک گزارش آسیب‌پذیری در پلتفرم باگ‌بانتی راورو ثبت می‌شود، قبل از ارسال برای میدان، در دو مرحله مورد بررسی قرار می‌گیرد: "بررسی اولیه" و "بررسی تیم داوری". چنانچه پس از این دو مرحله، گزارش آسیب پذیری، تکراری و غیرمرتبط محسوب نشود و از لحاظ صحت و موارد فنی تایید شود، نوبت به مرحله ی "بررسی میدان" می‌رسد. نکته‌ی لازم به ذکر این است که تا زمانی که گزارش آسیب‌پذیری در مراحل بررسی اولیه و بررسی تیم داوری قرار دارد، میدان هنوز به آن دسترسی ندارد؛ نه به عنوان و نه به محتوای گزارش آسیب‌پذیری. طبق این روال، از میان گزارش‌های ثبت شده، تنها گزارش‌های معتبر و صحیح به میدان می‌رسند. بر همین اساس، در سمت میدان زمان و انرژی بهینه‌تری برای هر گزارش، صرف می‌شود.

Image

پیشنهاد خواندنی: نگاهی گذرا به گزارش‌های آسیب‌پذیری در پلتفرم باگ‌بانتی راورو؛ گزارش آماری (1403)

بررسی موجودی شارژ حساب میدان قبل از دسترسی به گزارش آسیب پذیری 

در مرحله ی "بررسی تیم داوری" تیم داوری راورو ضمن بررسی فنی، به ارزش‌گذاری و تعیین مبلغ بانتی برای گزارش آسیب‌پذیری بر اساس قوانین هدف می‌پردازند. همان طور که قبل‌تر گفتیم، حالا نوبت مرحله‌ی " بررسی میدان" است. اما اتفاق دیگری نیز در میان این دو مرحله روی می دهد؛ برای میدان‌هایی که طرح عضویت رایگان را انتخاب کرده‌اند، برای دسترسی یافتن به گزارش (عنوان و محتوای آن) پیش‌نیازی وجود دارد. قبل از ارسال گزارش آسیب پذیری برای میدان، شارژ موجود در حسابش مورد بررسی قرار می‌گیرد. تا این اطمینان خاطر حاصل گردد که آیا موجودی حساب میدان برای پرداخت بانتی تعیین‌شده گزارش آسیب‌پذیری مدنظر کافی است؟ یا خیر؟ در حالتی که موجودی کیف پول میدان پایین‌تر از بانتی تعیین‌شده توسط تیم داوری راورو برای گزارش آسیب‌پذیری باشد، میدان فعلا نمی‌تواند به گزارش دسترسی داشته باشد. در چنین شرایطی لازم است که میدان ابتدا موجودی حساب خود را شارژ کند. سپس می تواند به عنوان و محتوای گزارش دسترسی پیدا کند. 

داخل پرانتز: لازم به ذکر است که قبل از فعال‌کردن اهداف از میدان‌ها تعهدی گرفته می‌شود. براساس این تعهد میدان موظف اشت که تمامی گزارش‌های آسیب‌پذیری که تیم فنی میدان از قبل از آن‌ها اطلاع دارند و تاکنون موفق به رفع آن‌ها نشده‌اند را در پلتفرم ثبت کنند. میدان همچنین موظف است که آسیب پذیری‌‌هایی که در طول زمان حضورش در برنامه‌ی باگ بانتی راورو، از طریق دیگری ( توسط تیم امنیت یا ... ) از آن‌ها آگاه می‌شود، را در پلتفرم ثبت نماید. این گزارش‌های ثبت‌شده، معیار بررسی تیم داوری برای تشخیص گزارش‌های تکراری خواهند بود. با این سازوکار جلوی چالش‌های احتمالی در خصوص تکراری بودن گزارش‌ها گرفته می‌شود.

چرا این روند و تمهیدات ایجاد شده‌اند؟ 

مسئولیت و نقش پلتفرمی راورو 

به عبارت ساده‌تر، گزارش آسیب‌پذیری‌ای که توسط شکارچی در پلتفرم باگ‌بانتی راورو ثبت می‌گردد، امانتی از جانب شکارچی در راورو محسوب می‌شود. راورو مسئولیت خود می‌بیند که جهت تسهیل مسیر و روال بررسی گزارش توسط میدان و تسریع پرداخت بانتی، تمهیداتی را بیندیشد.

پیشنهاد خواندنی: گفتنی‌هایی راجع به نقش پلتفرمی راورو بین شکارچی آسیب پذیری و میدان؛ گپ‌وگفتی با کاظم فلاحی، هم‌بنیان‌گذار راورو

حفظ محرمانگی محتوای فنی گزارش 

درصورتی که میدان همزمان یا زودتر از بررسی تیم داوری به گزارش آسیب پذیری دسترسی یابد، احتمال ایجاد برخی چالش‌ها پیش می‌آید. مثلا؛ در موقعیتی که میدان زودتر از تیم داوری به عنوان یک گزارش آسیب پذیری دسترسی می‌یابد، ممکن است به‌سرعت اقدام به رفع آسیب پذیری مربوطه کند و این‌گونه تیم داوری نمی‌تواند صحت گزارش را بررسی و تایید نماید. یا ممکن است میدان پس از دریافت گزارش آسیب پذیری اعلام نماید که قبلا گزارش مشابهی را توسط تیم امنیتی خود دریافت کرده است. به همین دلیل تا زمان بررسی کامل گزارش توسط تیم داوری، دسترسی به عنوان و محتوای گزارش برای میدان، فراهم نخواهد بود. 

اطمینان خاطر از روند پرداخت بانتی 

در مواقعی نیز پیش آمده است که میدان، گزارش آسیب پذیری را پذیرفته است، اما بر سر تعیین و پرداخت مبلغ بانتی، اختلاف‌نظرها و چالش‌هایی به میان آمده‌اند. جهت اطمینان خاطر از این موضوع که زمانی که گزارش آسیب‌پذیری‌ای برای میدان ارسال می‌شود، میدان از جهت مسائل بودجه و نقدینگی توانایی و آمادگی مالی پرداخت بانتی را به شکارچی داشته باشد و گفت‌وگو بر سر مسائل مالی و پرداختی، برای زمان بعد از دریافت گزارش نباشد، چنین روالی ایجاد شده است.

برخی چالش‌های مرتبط با بانتی

اختلاف نظرها ممکن است در مواردی پیش آیند که برای آسیب‌پذیری‌ ثبت‌شده، گزاره‌ی مشخصی در جدول قیمت گذاری، وجود نداشته باشد. در این موارد تیم داوری تلاش می‌کند تا قیمت‌گذاری را بر اساس نزدیک‌ترین گزاره‌ی مربوط به اثر گزارش انجام دهد. ( پس از نهایی‌شدن گزارش نیز، در صورت صلاحدید تیم داوری پیشنهاد اضافه‌کردن گزاره‌ی جدید به جدول قیمت‌گذاری به میدان ارائه می‌شود. ) در مواردی که گزارش حساسیت بالایی ندارد، نیز ارزش‌گذاری به عهده‌ی تیم فنی میدان گذاشته می‌شود. 

متاسفانه در موارد معدودی شاهد آن هستیم که نماینده‌ی تیم میدان با وجود عدله و اثبات گزارش، همکاری لازم برای تایید و پرداخت بانتی گزارش آسیب پذیری را از خود نشان نمی‌دهد. در این موارد راورو خود را متعهد به پرداخت مبلغ شکارچی می‌کند. و در خصوص ادامه‌ي فعالیت میدان، بازنگری و در برخی موارد اقدام به جلوگیری می‌کند.

برخی چالش‌ها نیز بیشتر در خصوص تاثیر شدت آسیب‌پذیری هستند؛ اغلب شکارچی‌ها اثر و ارزش گزارش را فقط بر مبنای CVSS در نظر می‌گیرند. درحالی‌که در مدل قیمت‌گذاری راورو، CVSS به تنهایی ملاک ارزش‌گذاری نیست و اثر آن آسیب پذیری بر روی کسب‌وکار نیز مبنا قرار می‌گیرد.

مثلا؛ کشف آسیب‌پذیری RCE (که شدت CVSS آن بیشتر از 9 باشد) در سامانه‌ها و بخش‌های مختلف، اثر مختلفی خواهد داشت. آسیب پذیری RCE بر روی سرور وبلاگ ( که کاملا مجزا است و به سرویس‌های دیگر میدان دسترسی ندارد)‌ یک وب‌سایت خدماتی بر مبنای اثر متوسط محاسبه خواهد شد. 

عنوانحیاتیبالامتوسطپایین
Remote Code Excution۱۰۰,۰۰۰,۰۰۰۸۰,۰۰۰,۰۰۰۴۰,۰۰۰,۰۰۰۱۰,۰۰۰,۰۰۰

سخن آخر:

راورو به عنوان یک پلتفرم باگ بانتی، مسئولیت خود می‌بیند که تلاش خود را در مسیر تسهیل، تسریع و بهینه سازی روند دریافت و تعیین تکلیف گزارش‌های آسیب پذیری به کار بندد. آن چه در این بلاگ‌پست خواندید، بخشی از این تلاش‌ها بود. امید داریم که با اقدامات دیگری نیز این مسیر برای شکارچیان آسیب پذیری و میدان‌ها هموارتر گردد. 

بلاگ‌پست‌های مرتبط: 

آیا هزینه باگ بانتی می‌ارزد؟ 

نکاتی درباره‌ی ارزش‌گذاری مالی گزارش‌های آسیب پذیری 

آیا قیمت خدمات امنیت سایبری می‌ارزد؟

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.