گزارش فصلینگاهی گذرا به گزارش‌های آسیب‌پذیری در پلتفرم باگ‌بانتی راورو ۱۴۰۳مشاهده گزارش
چرا باید حتما قبل از شکار آسیب پذیری، قوانین هدف را بخوانیم؟

چرا باید حتما قبل از شکار آسیب پذیری، قوانین هدف را بخوانیم؟

۲,۶۷۳

باگ بانتی روندی ست که شکارچیان آسیب پذیری در یک سوی آن و کسب‌وکارها در سوی دیگر آن هستند. یک پلتفرم باگ بانتی، در میانه‌ی این دو قرار می‌گیرد. پلتفرم باگ بانتی تلاش می‌کند که شرایط مناسب، منافع هر یک از طرفین را تا حد ممکن مورد درک و توجه قرار دهد و در راستای استفاده از پتانسیل‌های هر دو طرف و رفع نیازها و خواسته‌های هردو عمل کند. بخش قوانین هدف نیز، به همین منظور تهیه شده‌اند. تا هر میدان، شرایط و موارد مهم برای سامانه‌ی کسب‌وکار خود را در قالب قوانین به اطلاع شکارچیان آسیب پذیری برساند. شکارچیان آسیب پذیری نیز پیش از اقدام به عمل، هدف و میدان موردنظر خود را بهتر و بیش‌تر بشناسند و پس آن در صورت تمایل، دست‌به‌شکار شوند.

آنچه در این بلاگ‌پست خواهید خواند:

• قوانین هدف چیست؟

• معیار ارزیابی گزارش آسیب پذیری، قوانین هدف موردنظر است.

• قوانین هدف شامل چه چیزهایی ست؟ (محدوده‌ی مجاز شکار، آسیب‌پذیری‌های قابل‌قبول، محدوده‌ و شیوه‌ی پرداخت)

• چگونه می‌توانم پیش‌بینی کنم حدودا چقدر بانتی به گزارشم اختصاص داده خواهد شد؟

• اگر گزارشم شامل بیش‌ از یک آسیب پذیری باشد، حکمش چیست؟

• آیا استثنایی برای آسیب‌پذیری‌های حیاتی وجود ندارد؟

• میدان‌ها این قوانین را برچه اساسی تعیین می‌کنند؟

• تیم راورو در تعیین قوانین چه نقشی دارد؟

• قوانین همیشگی اند؟

• قوانین اهداف مختلف یک میدان تفاوت دارند؟

• قبل از ارسال گزارش آسیب پذیری، از وجود آسیب‌پذیری مطمئن شوید.

قوانین هدف چیست؟

هر میدان پیش از فعال‌سازی هدف خود، باتوجه به شرایط و موارد پراهمیت کسب‌‌وکار خود، اقدام به تعریف قوانین می‌کند. تا شما به‌عنوان یک شکارچی از این حق برخوردار باشید که قبل از شکار و ارسال گزارش آسیب پذیری از چارچوب‌های عملکردی میدان مقابل، شناخت و آگاهی داشته باشید. به این ترتیب شما می‌توانید قبل از صرف وقت و انرژی برروی کشف و شکار آسیب‌پذیری، به مطالعه‌ی قوانین هر هدف بپردازید و با آگاهی از آن‌ها و پذیرششان، دست به انتخاب و عمل بزنید.

پیشنهاد خواندنی: اهداف عمومی، خصوصی و دعوت‌نامه‌ای در راورو چه تفاوتی با هم دارند؟

معیار ارزیابی گزارش آسیب پذیری، قوانین هدف موردنظر است.

بخش قوانین به دلیل شفاف‌سازی شرایط بین شکارچی آسیب پذیری و میدان تدارک دیده شده است. قوانین تعیین‌شده برای هر هدف توسط میدان، یکی از معیارهای سنجش گزارش آسیب پذیری شماست.

قوانین هدف شامل چه چیزهایی ست؟

در این قوانین تعیین‌شده، به محدوده‌ی مجاز اهداف، آسیب‌پذیری‌های قابل‌قبول، آسیب‌پذیری‌های غیرقابل‌قبول، محدوده‌ و چگونگی پرداخت بانتی اشاره شده است. بدیهی است چنان‌چه گزارشی مغایر با قوانین ثبت شده دریافت شود، میدان از این حق برخوردار است که آن را نپذیرد و رد کند.

محدوده‌ی مجاز شکار:

در بخش قوانین هر هدف، محدوده‌ی مجاز شکار و دامنه‌های موردنظر اعلام شده است. گزارش‌‌هایی که مربوط به خارج از محدوده‌ و زیردامنه‌های تعیین‌شده برای هدف، توسط میدان باشند، رد می‌شوند.

Image

به‌عنوان مثال: چه دامنه های موردقبول هستند.

Image

به‌عنوان مثال: چه دامنه های غیرقابل‌قبول هستند.

Image

آسیب‌پذیری‌های قابل‌قبول:

در بخش قوانین هر هدف، آسیب‌پذیری‌های قابل‌قبول و غیرقابل‌قبول مشخص و لیست شده اند. گزارش‌‌های مربوط به آسیب‌پذیری‌هایی که از جانب میدان، غیرقابل‌قبول معرفی شده‌اند و در دسته‌ی آسیب‌پذیری‌های قابل‌قبول جای نمی‌گیرند، پذیرفته نمی‌شوند و رد می‌شوند.

Image

به‌عنوان مثال: آسیب‌ پذیری های مجاز

Image

به‌عنوان مثال: آسیب‌ پذیری های غیرمجاز

Image

محدوده‌ و شیوه‌ی پرداخت:

میدان در قوانین خود، نوع و محدوده‌ی پرداختی خود را نیز مشخص می‌نماید. نوع و شیوه‌ی پرداخت میدان، ممکن است شامل پرداخت نقدی و تسهیلات مربوط به کسب‌وکارش باشد. به‌عنوان مثال ممکن است میدانی درنظر گرفته باشد که برای آسیب‌پذیری‌های خاصی اقدام به پرداخت نقدی و برای برخی آسیب‌پذیری‌ها اقدام به اعطای خدمات و تسهیلات کند. همه‌ی این موارد در بخش قوانین، به‌طور شفاف از پیش تعیین‌شده اند.

به‌عنوان مثال: محدوده و شیوه‌ی پرداخت

هکر کلاه سفید هکر کلاه سیاه

چگونه می‌توانم بفهمم حدودا چقدر بانتی به گزارشم اختصاص داده خواهد شد؟

در بخش قوانین هر هدف، حداکثر مبلغ بانتی درنظرگرفته‌شده برای هر نوع آسیب پذیری، شرح داده‌شده‌است. اما حداکثر یعنی چه؟ چه عواملی در پرداخت حداکثری موثرند؟ حداکثر مقدار ذکرشده برای گزارش آسیب‌پذیری‌ای با سناریو حمله استاندارد و شدت حساسیت بالا درنظر گرفته شده است. گزارش‌های آسیب‌پذیری‌های مربوط به یک نوع خاص آسیب‌پذیری، باتوجه به سناریوی حمله و شدت حساسیت و اثر آن‌ها برروی کسب‌وکار، سنجیده می‌شوند. این‌گونه است که میزان بانتی‌ هر گزارش تعیین می‌شود. اگر یک گزارش آسیب پذیری، سناریوی حمله و شدت آسیب کم‌تری داشته باشد، مبلغ بانتی کم‌تری از مبلغ حداکثری تعیین‌شده شاملش می‌شود.

هک امنیت

اگر گزارشم شامل بیش‌ از یک آسیب پذیری باشد، حکمش چیست؟

اگر گزارش ما شامل دو آسیب پذیری باشد که باهم رخ دهند، چه؟ به‌طور‌مثال XSSای که باعث تصاحب حساب کاربری شود. بانتی، براساس تاثیر نهایی و مجموع اثر دو آسیب‌پذیری تعیین می‌شود. در واقع این‌طور درنظر گرفته می‌شود که در نگاه مجموع، چه خطر بالاتری وجود دارد و میدان را تهدید می‌کند. براساس آن خطر، مبلغ بانتی، تعیین می‌شود. مثلا؛ اگر XSS منجر به تصاحب حساب کاربری شود، دیگر به XSS مدنظر قرار داده نمی‌شود. بلکه مبلغ مربوط به آسیب‌پذیری Account Takeover پرداخت می‌شود.

باگ بانتی آسیب پذیری

آیا استثنایی برای آسیب‌پذیری‌های حیاتی وجود ندارد؟

در بعضی موارد شکارچی در دامنه‌ای که جزو قوانین میدان نبوده، آسیب‌پذیری‌ حیاتی‌ای کشف می‌کند که منجر به دسترسی RCE یا SQL Injection می‌شود. در چنین شرایطی، مطابق با قوانین تعیین‌شده، میدان متعهد و موظف به پذیرفتن گزارش و پرداخت بانتی نیست. اما باتوجه به حیاتی بودن آسیب‌پذیری‌ها، راورو تلاش می‌کند که وارد مذاکره و گفت‌وگو با میدان شود؛ آسیب‌پذیری را با میدان درمیان بگذارد و درخواست بانتی کند. در بسیاری از موارد نیز موفق شده است که باگ را به بانتی منجر کند.

میدان‌ها این قوانین را برچه اساسی تعیین می‌کنند؟

ممکن است بپرسید، کسب‌وکارها قوانین را چگونه و برچه اساسی تعیین می‌کنند؟ هر کسب‌وکاری آسیب‌پذیری‌هایی را که آسیب جدی به منافع شرکتشان وارد کند، را سطح بالا در نظر می‌گیرند. این منافع شرکت بستگی به مقیاس، سیاست‌ها، شرایط، اولویت‌های فعلی و جنس کسب‌وکار دارد؛ بی‌شک برای کسب‌وکاری با 100 کاربر، در مقایسه با کسب‌وکاری دارای هزارها کاربر، یک آسیب‌پذیری ارزش متفاوتی دارد. برهمین اساس ممکن است آسیب‌پذیری‌هایی که در برخی کسب‌وکارها مهم شمرده می‌شوند، برای برخی کسب‌وکارها، اهمیت چندانی نداشته باشند. مبلغ بودجه‌ی ممکن برای هر کسب‌وکار نیز، از عوامل اثرگذار بر تعیین محدوده‌ی پرداخت است.

پیشنهاد خواندنی: تعریف هدف در باگ‌بانتی به چه معناست؟ و چه دلیلی دارد؟

تیم راورو در تعیین قوانین چه نقشی دارد؟

تیم داوری و مشاوره‌ی امنیتی راورو، در این مسیر به ارائه‌ی پیشنهاد و مشاوره‌ی امنیتی به میدان‌ها می‌پردازد و تلاش می‌کند تا درصورت‌نیاز درخصوص بعضی موارد به مذاکره بپردازد. اما در نهایت، انتخاب و تصمیم‌گیری را به‌عهده‌ی میدان می‌گذارد. در واقع، باتوجه به ماهیت پلتفرمی خود، سکویی را در اختیار میدان قرار می‌دهد تا برنامه‌ی باگ‌بانتی خود را با قوانین خود، برروی آن ایجاد کند.

انتخاب میدان و هدف موردنظر برای کشف و شکار آسیب‌پذیری، نیز برعهده‌ی خود شکارچیان است. البته که راورو در راستای مسئولیت خود، تلاش خود را در جهت ارتقای مبالغ بانتی متوقف نمی‌کند. اما در برخی شرایط تلاش‌ها منجر به نتیجه‌ی ایده‌آل و پذیرش میدان نمی‌شوند. در چنین شرایطی راورو تلاش می‌کند تا در راستای متوقف نشدن فعالیت‌های باگ‌بانتی و هم‌چنین فراهم‌نمودن گستره‌ی انتخاب متنوع برای شکارچیان، فعال‌نمودن اهداف را در اولویت قرار دهد. البته که اگر میزان نارضایتی‌ها شکارچیان از میدان‌ها زیاد باشد، راورو به تجدید نظر درباره‌ی چگونگی هم‌کاری با میدان می‌پردازد.

قوانین همیشگی اند؟

قوانین هدف ممکن است تغییر کنند. میدان‌ها ممکن است پس از مدتی تصمیم به تغییر برخی قوانین هدف خود بگیرند. معیار سنجش گزارش آسیب‌پذیری شما، قوانینی ست که در ساعت ارسال گزارش شما، در بخش قوانین هدف وجود دارند. پس اگر ماه پیش، هفته‌ی پیش یا روز پیش قوانین هدف موردنظر خود را چک کرده‎‌اید، کافی نیست! حتما قبل از ارسال گزارش خود نیز، یک بار دیگر قوانین هدف موردنظر را چک کنید و از عدم‌مغایرت آسیب‌پذیری کشف‌کرده‌ی خود با قوانین هدف، مطمئن شوید.

قوانین اهداف مختلف یک میدان تفاوت دارند؟

یک میدان ممکن است قوانین متفاوتی را برای اهداف متفاوت خود وضع کند. چراکه طبیعتا دامنه‌های متفاوت یک سامانه، از ارزش، میزان حساسیت و بخش‌های ساختاری متفاوتی برخوردارند. حتما قبل از اقدام به شکار، قوانین هدف موردنظر خود را چک کنید. اگر قوانین هدف دیگری از میدان را مطالعه کرده‌اید، با این پیش‌فرض که احتمالا قوانین اهداف دیگر میدان نیز مشابه همین قوانین است، سراغ شکار نروید. و حتما قوانین هدفی که قصد شکار در آن را دارید به‌دقت بررسی کنید.

قبل از ارسال گزارش آسیب پذیری، یک بار دیگر وجود آسیب پذیری را بررسی کنید.

اگر گزارشی را از قدیم‌تر‌ها در صندوقچه‌تان ذخیره کرده‌اید و حالا که کسب‌وکار موردنظر به لیست میدان‌های فعال باگ بانتی اضافه شده‌‌است، فرصت را برای ارسال گزارش مناسب دانسته‌اید، هم لازم است قبل از ارسال گزارش، حتما مطابقت آسیب‌پذیری کشف‌کرده با قوانین را چک کنید. هم‌چنین توصیه می‌کنیم که قبل از ارسال گزارش، وجود آسیب پذیری را دوباره بررسی و از وجود آن اطمینان پیدا کنید. اگر مدتی ست که مشغول بررسی هدف و کشف آسیب پذیری هستید، نیز توصیه می‌کنیم که قبل از ارسال گزارش نیز، وجود آسیب پذیری را بررسی کنید و از وجود آن مطمئن شوید. چراکه ممکن است در مدت زمانی که شما گزارش را ارسال نکرده‌اید، ساختار سامانه‌ی موردنظر تغییراتی کرده باشد و یا آسیب پذیری موردنظر رفع شده باشد.

سخن آخر

همه‌ی ما از قدیم شنیده‌ایم که گفته‌اند: " جنگ اول به از صلح آخر است." همان‌طور که در ابتدای متن اشاره کردیم، بخش قوانین نیز در راستای شکل‌گیری توافق میان شکارچی آسیب پذیری و میدان تدارک دیده شده است. تا با وضوح هرچه بیش‌تر و بیان صادقانه‌ی شرایط، از ایجاد چالش‌های ممکن در آینده جلوگیری شود.

بلاگ‌پست‌های مرتبط:

از باگ تا بانتی؛ ۴ مرحله‌ای که هر گزارش آسیب‌پذیری در راورو طی می‌کند.

چگونه یک گزارش آسیب‌پذیری بنویسیم؟

اهداف عمومی، خصوصی و دعوت‌نامه‌ای در راورو چه تفاوتی با هم دارند؟