مثل یک محقق امنیتی حرفه‌ای درکمتر از 15 دقیقه گزارش باگ بانتی حرفه ای بنویسید

مثل یک محقق امنیتی حرفه‌ای درکمتر از 15 دقیقه گزارش باگ بانتی حرفه ای بنویسید

برنامه های باگ بانتی به بخش بزرگ و جدا نشدنی صنعت امنیت سایبری تبدیل شده اند. این برنامه‌ها به شرکت ها ، آژانس‌های دولتی و حتی افرادشخصی این امکان را فراهم می‌کنند تا آسیب‌پذیری های موجود در نرم افزارها و شبکه‌هایشان را پیدا کنند. این سازمان ها هم به نوبه خود از این اطلاعات برای بهبود محصلات و خدمات شان برای مشتریانی که حاضر به پرداخت پول درقبال این محصولات و خدمات هستند، استفاده کنند.

گزارش باگ بانتی حرفه ای

1. مقدمه

هدف از نوشتن این گزارش ارائه یک دیدکلی از آسیب‌پذیری هایی است که از سیستم مدنظر پیدا شده و همچنین ارائه راه حل های پیشنهادی برای رفع آنهاست. این کار را می‌توانیم با ارائه‌ی جزئیات درباره هر آسیب‌پذیری، درکنار اثرات آن برای سازمان انجام دهیم.

2. چکیده اجرایی

خلاصه اجرایی یک بازبینی کلی از یافته های شماست، که درآن به آسان ترین شکل ممکن به توصیف آنها می‌پردازید. این بخش از شامل موارد زیر است:

مشکل اصلی ما چیست؟

موارد اصلی‌ای که پیدا کرده‌ایم چه چیزهایی هستند؟

آسیب پذیری را چگونه پیدا کردید؟ (برای مثال از ورودی کاربر یا وب API)

این آسیب پذیری چه اثراتی می‌تواند داشته باشد؟

چگونه می توانیم این آسیب‌پذیری را درست کنیم؟

چگونه این آسیب‌پذیری را می توانیم به افراد ذینفع / مخاطب خود گزارش دهیم؟

3. خط زمانی گزارش

ترسیم خط زمانی برای گزارش یکی از بهترین روش ها برای ارائه گزارش به ترتیب زمان وقوع وقایع است. برای اینکار به این موارد نیاز دارید:

تاریخ کشف (یا زمان گزارش اولیه)

زمان ثبت گزارش (تاریخ روزیکه مشکل را گزارش کردید)، و

درصورت دردسترس بودن، تاریخ حل یا رفع مشکل گزارش شده.

4. جزئیات آسیب‌پذیری

دراین بخش، ممکن نیاز باشد که شما آسیب‌پذیری را با جزئیات کامل و توضیحاتی درباره تاثیرات آن روی وضعیت امنیت سایبری سازمان توصیف کنید. شما بایستی اطلاعاتی درباره نحوه بهره برداری یا رفع آن توسط کاربرانی که به آن دسترسی دارند (مثلا از طریق کدهای مخرب) نیز ارائه دهید.

5. لینک های شواهد و مدارک

لینک های شواهد و مدارک به شما کمک می‌کنند تا گزارش اصلی و سایر اطلاعاتی که ممکن است برایتان کاربردی و مفید باشند را پیداکنید. اگر ویدیویی در دسترس است که می توان آن را درکنار گزارش آسیب پذیری شما نمایش داد، این ویدیو را هم به اینجا وصل می‌کنیم.

6. اثرات آسیب‌پذیری‌ها

همچنین شما باید اثرات آسیب‌پذیری‌ها را نیز باید درنظر بگیرید. اثرات هر آسیب‌پذیری چه می‌تواند باشد؟ این آسیب‌پذیری ها تا چه حد می توانند خطرناک باشند؟ چگونه می توانید از آنها بهره برداری کنید؟ پیامدهای این آسیب‌پذیری ها چه می‌تواند باشد و این پیامدها چه اثراتی روی شرکت شما دارند؟

7. اثبات مفهوم (Proof of Concept (POC))

اثبات مفهوم (POC) ابزاریست که از آن برای نشان دادن اثرات آسیب‌پذیری استفاده می‌شود. از آن همچنین بهعنوان Exploit هم یاد می‌شود و از آن برای اهداف تست و آزمایش هم می تواناستفاده کرد، ولیکن همیشه ایجاد کردن یک POC کار آسانی نیست!

برای ایجاد یک POC موثر، شما به این موارد نیاز پیدا می‌کنید:

نحوه کار پلتفرم مورد هدف و الزامات امنیتی آن را به خوبی یادبگیرید.

موثرترین نوع بهره‌برداری را مشخص کنید؛ و

براساس این عوامل برنامه ریزی کنید.

8. مراجع

اگر داخل یک نرم افزار آسیب‌پذیری پیدا کردید، مطلع کردن فروشنده از این آسیب‌پذیری یک امر بسیار مهم است. چون ممکن است فروشنده درصورت آگاه نبودن از وجود این آسیب پذیری، زمانی برای برطرف کردن آن پیا نکند.

اگر قبلا این بخش از گزارشتان را پر کرده‌اید و هنوز در یافتن مدارک مرجع یا پیوندهای شواهد مشکل دارید، دوباره با استفاده از کلمات متفاوت یا مشابه جستجو کنید (برای مثال: “امنیت نرم افزار”). ممکن است چیزی از زیر دست تان در رفته باشد!

امیدوارم در آخر یک ایده محکمی درباره نحوه تنظیم و نگارش یک گزارش حرفه ای برای برنامه‌های افشای بانتی / آسیب‌پذیری ای که درآینده شرکت می‌کنید داشته باشید.

گزارش باگ بانتی حرفه ای

سخن آخر

یک راه خوب برای شروع است که واضح و مختصر باشید. زمانیکه درحال نوشتن یک ایمیل هستید، مطمئن شوید که در متن ایمیل هیچ غلط نگارشی یا گرامری وجود نداشته باشد، اگر درحال نوشتن یک مقاله هستید، زیاد از اختصار استفاده نکنید، و اگر درحال ارائه رودر رو یا آنلاین هستید، قبل ازاینکه کسی سوالی بپرسد مطمئن شوید که همه متوجه حرفهای شما می‌شوند.

فوت کوزه گری برای زمان هاییکه درحال تنظیم گزارش هستید: سعی کنید در هر پاراگراف/بخش/ مورد موجود در داکیومنت بیشتر از دو بار از خودتان تعریف نکنید(مگراینکه به طور خاصی از شما خواسته شود). همچنین، مطمئن شوید که هیچ بند و حرفی از گزارش شما در اینترنت موجود نباشد، مخصوصا حالا که این برنامه ها امروزه از محبوبیت زیادی برخوردار هستند!

خب با یادگرفتن این مراحل، شما حالا تمام چیزهایی که برای تنظیم یک گزارش آسیب‌پذیری نیاز داشتید را یاد گرفته اید. در بدترین حالت ممکن فرایند نگارش یک گزارش کامل به سختی 15 دقیقه از وقت شما را می‌گیرد. اینجا کیفیت گزارش حرف اول را می‌زند.

درآخر اینکه، برای اینکه بتوانید یک گزارش آسیب پذیری حرفه ای آماده کنید بهتر است که تمام این مراحل را به ترتیب رعایت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *