Chanzo: www.hackerone.com – Mwandishi: Adam Bacchus. Ikiwa unasoma hili, labda unakaribia kuanza kujaribu ripoti za programu ya fadhila ya hitilafu, au labda tayari uko ndani kabisa. Blogu hii ina vidokezo kadhaa vya jinsi ya kujipanga vyema zaidi ili kushughulikia ripoti nyingi zinazoendana nawe, pamoja na vidokezo vya kina zaidi kuhusu jinsi ya kushughulikia matukio ya kawaida kwenye ripoti binafsi. Sheria # 1 – Shiriki mzigo! Kukagua ripoti za fadhila za hitilafu ni kazi inayoendeshwa na usumbufu; hujui ni lini RCE inaweza kuelea na kudai umakini wako wote kwa siku hiyo! Kwa hivyo, ni muhimu kushiriki mzigo kwa kusanidi simu ya kila wiki au kukatiza mzunguko. Ikiwa uko zamu kwa wiki, wewe ndiye bwana wa fadhila ya hitilafu, unayesimamia: kukagua ripoti zinazoingia zinazochunguza maendeleo ya ripoti za zamani zinazoweka mende ndani kwa masuala yoyote halali yanayosababisha maamuzi kuhusu kiasi cha fadhila kuendesha urekebishaji wa pointi za Bonasi zilizokwishawasilishwa. ukiunda mwongozo wa ndani ulio na orodha tiki ya “MABADILIKO ya Fadhila ya Mdudu” kwa wiki (zaidi kuhusu hili katika kanuni #2), na pointi zaidi za bonasi ikiwa utakabidhiana kwa haraka wakati kumpa kijiti mwenzako kwa jukumu la wiki ijayo! Kanuni #2 – Weka Kipaumbele! Sawa, kwa hivyo uko kazini, na uko tayari kujishughulisha. Wapi kuanza? Hii itatofautiana kutoka shirika hadi shirika, lakini kwa ujumla orodha yako ya ukaguzi itaonekana kama hii: Ripoti mpya! Kagua na ujibu ripoti zozote mpya ambazo zimekuja kwa haraka haraka kuchunguza masuala ambayo yanaweza kuwa muhimu kwanza (RCE, SQLi, ripoti kuhusu vikoa vilivyopewa kipaumbele, n.k.) Fikiria kupanga ripoti kwa “Sifa ya Juu” ili kutafuta ripoti kutoka wadukuzi wa hali ya juu kwanza Usiogope kubadilisha jina la ripoti ili kurahisisha kuzielewa na kuzichanganua kwa haraka katika siku zijazo. Mkataba mzuri wa kawaida wa kumtaja kwa ripoti ni: in. Ikiwa mdukuzi hajatoa maelezo ya kutosha kuzalisha hitilafu, weka ripoti kama “Inahitaji Maelezo Zaidi” na uwaulize maswali yoyote ya kufafanua. (Maelezo zaidi kuhusu jinsi ya kutekeleza majaribio ya ripoti ya awali yamo katika kanuni #3, hapa chini) Ripoti za zamani! Kagua “triaged” na “inahitaji maelezo zaidi” ripoti 2x angalia ikiwa kitu chochote kinaendelea nje ya SLA; km ukiahidi kutoa sasisho la kiasi cha fadhila ndani ya siku 5, na imekuwa 4, wakati wa kupata ufa. Ikiwa umeomba maelezo zaidi kutoka kwa mdukuzi na hawajajibu kwa muda, wape tena Fanya mvua. ! (kwa programu za fadhila pekee) Kagua ripoti zozote zinazohitaji uamuzi wa fadhila, shinikiza uamuzi huo ufanywe, na ulipe ripoti kuhusu Usimamizi wa Athari! 2x angalia hitilafu zozote zilizowekwa ndani zilizotoka kwa mpango wako wa fadhila Je, mdudu huyo ana mmiliki? Je, mmiliki anaelewa jinsi ya kurekebisha hitilafu, au wanahitaji usaidizi wowote? Je, wamejitolea kwa ratiba ya kurekebisha? Mdudu amekuwepo kwa muda gani? Ninapendekeza kuzuia muda fulani mara mbili kwa siku ili kukagua ripoti, kisha kuweka muda unavyohitajika ili kuweka michakato ya usimamizi wa fadhila na uwezekano wako ikiendelea vizuri. Kanuni # 3 – Kujaribu! Moja ya sehemu muhimu zaidi (na gumu zaidi!) ya triage ni kushughulikia kwa urahisi mawasiliano na wadukuzi. Uwazi na maoni ya wazi ni muhimu. Kwa kiwango cha juu, mchakato wako kwa kawaida utaonekana kama hii: Je, ripoti iko katika upeo na inaweza kutolewa tena? Ikiwa haiko katika upeo, au ni jambo lisilo wazi, weka ripoti kama Haitumiki na ueleze sababu yako kwa mdukuzi jinsi ulivyofikia uamuzi huu. Iwapo iko katika upeo, lakini haiwezi kuzaliana tena, unaweza kutia alama kwenye ripoti kama Inahitaji Maelezo Zaidi, ueleze kuwa haukuweza kuzalisha suala hili tena, na uwaombe watoe maelezo zaidi inapohitajika. Ikiwa iko katika upeo na inaweza kutolewa tena, endelea hadi hatua #2… Je, ripoti inafaa kurekebishwa / itaboresha mkao wako wa usalama? Ikiwa ni suala halali, lakini hatari ndogo kiasi kwamba huna mpango wa kulitatua, unaweza kutia alama kwenye ripoti kama ya Taarifa. Hasa kwa programu za umma, kumbuka kuwa ikiwa una uhakika kuwa sio suala, ni njia bora ya kufichua ripoti hadharani. Iwapo ripoti za siku zijazo za hali kama hiyo zitatolewa, unaweza kuelekeza kwenye ripoti ya awali ili kuonyesha sababu yako ya kutoichukulia kuwa suala. Iwapo inafaa kurekebishwa na itaboresha mkao wako wa usalama, endelea hadi hatua #3… Je, hii ni ripoti ya kwanza ya suala hili? Ikiwa sivyo, weka ripoti kama Nakala, na umfafanulie mdukuzi kuwa hawakuwa wa kwanza kuwasilisha suala hili, na kwa hivyo, halitahitimu kupata faida. Ukipenda, unaweza kumwalika mdukuzi kutazama ripoti iliyowasilishwa awali ili kusaidia kwa uwazi kuonyesha kwamba hawakuwa wa kwanza kuipata. Ikiwa ni ripoti ya kwanza, nenda kwa hatua #4… Ni halali! Weka ripoti kama Iliyotatuliwa, na umshukuru mdukuzi kwa kuripoti suala hilo. Jibu la mfano: “Sasa nzuri! Asante kwa kuwasilisha suala hili kwetu – tuliweza kulizalisha tena, na tumewasilisha hitilafu ndani ili kufuatilia ili kurekebisha. Tunahitaji muda wa kuchunguza chanzo na kutathmini athari kamili ya suala hili, lakini pindi tu tutakapofanya uamuzi kuhusu zawadi, tutakujulisha. Pia tutakujulisha pindi tatizo litakapotatuliwa. Asante tena, na tafadhali tujulishe ikiwa una maswali au wasiwasi wowote.” Faili hitilafu katika mfumo wako wa ufuatiliaji wa hitilafu wa ndani (au tumia API ya HackerOne rahisi kukusaidia kufanya hili kiotomatiki). Unapokuwa na wakati, tafuta mmiliki ambaye atachukua jukumu la kutafuta kurekebisha hitilafu. Zawadi mtafiti punde tu utakapothibitisha kuwa suala hilo ni sahihi na kutathmini athari, ni njia bora ya kulipa fadhila. Mchakato wa kubainisha kiasi cha fadhila hutofautiana kutoka kwa kitu chepesi kama vile mtu aliyetekeleza uhakiki kubainisha kiasi na kulipa papo hapo, hadi mbinu inayofanana na kamati, ambapo kila mtu anayeshughulikia mpango wako hukutana mara moja kwa wiki ili kujadili ripoti za hivi majuzi, kukubaliana juu ya kiasi cha fadhila kwa kila mmoja, na ulipe mara moja baada ya hapo. Wakati wa kulipa fadhila, hapa kuna jibu la mfano: “Asante tena kwa kuturipoti suala hili! Tumeamua kukutunuku zawadi ya $x,xxx kwa kutusaidia kutambua na kutatua suala hili – hongera! Tafadhali kumbuka kuwa suala bado liko moja kwa moja, kwa hivyo tafadhali usijadili au kufichua hadharani athari hii hadi tupate fursa ya kusuluhisha. Tatizo likitatuliwa, tutakujulisha, na unaweza kutujulisha ikiwa tumekosa chochote.” Kanuni ya 4 – Diplomasia! Katika ulimwengu bora, kila ripoti itakuwa halali, ikiwa na hatua za urekebishaji zilizo wazi na athari ya usalama iliyobainishwa vyema, na kila zawadi inayolipwa italingana kikamilifu na matarajio yako na ya mdukuzi, hitilafu zitatatuliwa kwa wakati ufaao, na wewe. Nitajibu kila ripoti ndani ya muda unaofaa. Kwa kweli, mambo mengi sana yanaweza kwenda kombo – hakuna maelezo ya kutosha ya kutoa ripoti tena; mdukuzi anahisi kiasi chako cha fadhila kilikuwa kidogo sana; fadhila yako ya mdudu aliyepo kazini anaita mgonjwa, na hakuna anayechunguza ripoti… unapata wazo. Mambo yanapoenda kusini, ni rahisi kufadhaika na kutaka kuchanganua ripoti haraka; pia ni rahisi kukasirika na kujihusisha na fisticuffs pepe wakati mtu anakuwa mgumu. Hayo yote yamesemwa, ni muhimu kukumbuka kila kitu unachosema kinawakilisha kampuni yako; na nyuma ya kila ripoti kuna mtu ambaye amewekeza muda katika kujaribu kukusaidia kuboresha usalama wako. Unaweza kuepuka milipuko kwa kuunda ukurasa mzuri wa sera/kanuni, na kufuata vidokezo hivi kwa ajili ya uzinduzi wa mafanikio, lakini yote yakishindikana, utahitaji usaidizi kutoka kwa marafiki zako wawili bora: busara na subira. Hapa kuna mifano ya kawaida ya kutoelewana ambayo inaweza kutokea, na mbinu zilizopendekezwa za jinsi ya kujibu. Dokezo la Fidia Hebu tuseme unapata ripoti inayoonekana kama hii: “Nimepata hitilafu mbaya, lakini nitakupa tu maelezo machafu ikiwa utanilipa $20k hapo awali, vinginevyo nitatoa maelezo kwa vyombo vya habari ndani ya masaa 24.” Subiri nini? Mara ya kwanza, hii inaweza kuonekana kuwa ya kutisha, lakini mara nyingi ni bluff. Lengo zima la kuendesha programu ya fadhila ya hitilafu ni kutoa njia ya kufanya kazi pamoja na wavamizi marafiki kwa njia iliyopangwa – ripoti hii ni kinyume cha hilo. Kwa hivyo unajibuje kwa hili? “Hujambo, Asante kwa kuandika, na asante kwa kuchukua wakati kutafuta maswala kama sehemu ya mpango wetu wa fadhila ya hitilafu; tunashukuru! Tungependa kufanya kazi na wewe jinsi ya kukabiliana na hali hii; ikiwa una hitilafu muhimu, hakika tunavutia kujua jinsi ya kuizalisha tena. Mchakato wetu wa kawaida ni kukubali maelezo ya athari kwanza ili kuona kama suala hilo linaweza kuzaliana tena. Pindi tu tukiwa na maelezo haya, tunaweza kufanya tathmini ya kina kuhusu athari ya suala hili, jinsi linavyoweza kutumiwa, n.k. Hili hutupatia data ya kupima kwa usahihi kiasi cha fadhila kinafaa kuwa. Kwa hitilafu muhimu, kwa kawaida huwa tunalipa $x,xxx – unaweza kuona hili kwenye ukurasa wetu wa sheria hapa: . Tunatumahi kuwa unaweza kuelewa hali yetu – bila maelezo haya, haiwezekani kutathmini kwa usahihi thamani ya ripoti yako. Ikiwa ungeweza kutoa maelezo kuhusu jinsi ya kuzalisha upya suala hili, tungeshukuru sana. Ikiwa una maswali au wasiwasi wowote kuhusu mbinu hii, tafadhali tujulishe.” Jibu hili ni la fadhili, lakini thabiti, linaloelezea sababu ya kwa nini unahitaji maelezo ya hatari kwanza. Ikiwa wana bluffing, wanaweza kurudi na kuvuta na kuvuta zaidi, lakini ni muhimu kushikamana na bunduki zako. Ukiishia kulipa kwa kila “tishio” unalopokea, utaingia kwenye shimo la sungura la fadhila zisizohitajika. Suala hili batili ni halali kabisa! Kutoelewana nyingi kunaweza kutokea kuhusu masuala ya ukali wa chini ambayo huenda usifikirie kukutana na upau ili kupata fadhila, au hata mawasiliano yasiyofaa kuhusu kile kilicho na kisicho katika upeo. Hebu tuseme unapata ripoti kama hii: “Ukurasa huu – – unaweza kutekwa nyara, kwa kuwa unakosa kichwa cha Chaguo za X-Frame. Fadhili tafadhali!” Hata hivyo, inageuka kuwa ukurasa unaozungumziwa haujumuishi utendaji wowote nyeti au wa kubadilisha hali, kwa mfano ni tovuti ya uuzaji iliyo na maudhui tuli pekee… athari ya usalama iko wapi? Jibu zuri litakuwa: “Asante kwa kichwa! Tuliuangalia ukurasa huu na tukabaini kuwa unahifadhi maudhui tuli pekee, kwa hivyo haionekani kuwa na athari nyingi za usalama hapa. Kwa hivyo, tutafunga ripoti hii kama ya Taarifa. Iwapo unafikiri kuwa tumekosa kitu na tunaweza kuonyesha athari ya usalama katika hali hii, tafadhali tujulishe!” Ikiwa mdukuzi bado anaisukuma, kwa mfano, “Lakini XFO ni mazoezi bora! Unahitaji kurekebisha hili na unilipe!”, Usiogope kuwa mkarimu lakini thabiti: “Ndiyo, tunakubali kwamba kichwa ni mazoezi bora, na tunaweza kufikiria kukiongeza hapa, lakini athari ya kufanya hivyo ni. kidogo, kwani hakuna chochote nyeti kwa kubofya. Kwa kuwa hakuna athari za usalama, hii haifikii upau kwa faida. Unapotafuta hitilafu za kubofya, tafadhali jaribu kutambua hali ya unyonyaji na utathmini athari za usalama – kurasa ambazo utendakazi wa kubadilisha hali zina uwezekano mkubwa wa kuhitimu. Asante, na kila la kheri kwenye uwindaji wako wa wadudu katika siku zijazo!” Kuikamilisha Tunatumahi vidokezo hivi vitakusaidia katika matukio yako ya kujaribu, na kusababisha utendakazi mzuri, na uwezo wa kushughulikia kwa haraka na kwa ufanisi hali zozote zinazoweza kutokea. Kwa mifano halisi ya maisha ya majaribio, angalia ripoti zilizofichuliwa kwa umma katika Hacktivity. Hii hapa ripoti inayoangazia majaribio bora na mawasiliano kutoka Snapchat. Kama unaweza kuona, triage ni uwekezaji mkubwa! Iwapo huna kipimo data cha kushughulikia utatuzi ndani ya nyumba, HackerOne inatoa huduma ya kuhakiki ili kusaidia kushughulikia mawasiliano yote na wadukuzi, pamoja na utoaji wa masuala ili kuongeza hitilafu halali kwa timu yako pekee. Tunaweza kukusaidia hata kwa usimamizi wa fadhila na utoaji. Kwa habari zaidi, tafadhali wasiliana sales@hackerone.com. Je, una vidokezo vingine au mifano ya mbinu bora wakati wa kujaribu? Ikiwa ndivyo, tujulishe kwa kututumia barua pepe kwa feedback@hackerone.com, au nipigie kwenye Twitter – @sushihack. Adam Bacchus HackerOne ni jukwaa # 1 la usalama linaloendeshwa na wadukuzi, linalosaidia mashirika kutafuta na kurekebisha udhaifu mkubwa kabla ya kutumiwa vibaya. Kama njia mbadala ya kisasa ya majaribio ya kawaida ya kupenya, suluhisho zetu za mpango wa fadhila za hitilafu hujumuisha tathmini ya uwezekano wa kuathiriwa, upimaji wa rasilimali watu na usimamizi unaowajibika wa ufichuzi. Gundua zaidi kuhusu suluhu zetu za majaribio ya usalama au Wasiliana Nasi leo. Url ya Chapisho asili: https://www.hackerone.com/company-news/bug-bounty-or-bust-art-triage