#9 Bug Bounty. Выстраивание отношений с командой разработки.
Здравствуйте, дорогие друзья.
Ваша работа как хакера не прекращается в тот момент, когда Вы отправляете отчет. Как человек, обнаруживший уязвимость, Вы должны помочь компании исправить проблему и убедиться, что уязвимость полностью исправлена.
Давайте поговорим о том, как обрабатывать Ваше взаимодействие с командой безопасности, после подачи отчета, и как построить прочные отношения с ними. Построение прочных отношений с командой безопасности поможет Вашим отчетам решаться быстрее и без проблем. Это может даже привести к большему вознаграждению за обнаружение ошибок, если Вы можете постоянно вносить свой вклад в безопасность организации. Некоторые охотники за ошибками даже брали интервью или получали предложения о работе от ведущих технологических фирм из-за их результатов поиска ошибок! Хорошо просмотрите различные состояния Вашего отчета, что Вы должны делать во время каждого этапа процесса, и как справляться с конфликтами при общении с командой безопасности.
Понимание состояний отчета
После того, как Вы отправите свой отчет, команда безопасности классифицирует его как состояние отчета, которое описывает его текущий статус. Состояние отчета будет меняться, по мере продвижения процесса последствий. Вы можете найти состояние отчета, указанное в интерфейсе платформы Bug Bounty или в сообщениях, которые Вы получаете от групп безопасности.
Нужно больше информации
Одно из наиболее распространенных состояний отчета, которое Вы увидите, — требуется дополнительная информация. Это означает, что служба безопасности не полностью поняла Ваш отчет или не смогла воспроизвести проблему, используя предоставленную Вами информацию. Команда безопасности обычно задает вопросы или просьбы о дополнительной информации об уязвимости. В этом случае Вам следует пересмотреть свой отчет, предоставить недостающую информацию, и решить дополнительные проблемы группы безопасности.
Информативный
Если служба безопасности пометит Ваш отчет как информативный, они не исправят ошибку. Это означает, что они считают проблему, о которой Вы сообщили, проблемой безопасности, но недостаточно значительной, чтобы гарантировать исправление. Уязвимости, которые не влияют на других пользователей, таких как возможность увеличить свои собственные баллы в онлайн-играх, часто попадают в эту категорию. Другой тип ошибки, часто помечаемый как информативность — недостающая передовая практика безопасности, например, разрешение пользователям повторно использовать пароли.
В этом случае Вы больше ничего не можете сделать для отчета! Компания не будет платить Вам вознаграждение, и Вам не нужно следить за этим процессом, если Вы не верите службе безопасности, которая допустила ошибку. Тем не менее, я рекомендую Вам следить за информативными проблемами, и попытаться связать их в более крупные и важные ошибки.
Дубликаты
Двойной статус отчета означает, что другой хакер уже нашел ошибку, и компания находится в процессе устранения уязвимости.
К сожалению, поскольку компании присуждают вознаграждение за обнаружение ошибок только первым хакерам, которые находят ошибку, Вам не заплатят за дубликаты. Нет ничего больше общего с отчетом, помимо помощи компании в решении проблемы. Вы также можете попытаться эскалировать или связать ошибку в более серьезную ошибку. Тогда, служба безопасности может рассмотреть новый отчет как отдельную проблему и вознаградить Вас.
N/A
Статус «Не применимо» (N/A) означает, что в Вашем отчете нет допустимой ценной ошибки. Это может произойти, когда Ваш отчет содержит технические ошибки, или если ошибка является преднамеренным поведением приложения. Отчеты N/A не оплачиваются. Вам здесь больше нечего делать, кроме как, двигаться дальше и продолжать взлом!
Сортировка
Команды безопасности сортируют отчет, когда они проверяют его. Это отличная новость для Вас, потому что это обычно означает то, что команда исправит ошибку и вознаградит Вас.
После того, как отчет будет проверен, Вы должны помочь команде безопасности исправить проблему. Немедленно ответьте на их вопросы и предоставьте любую дополнительную информацию, которую они запрашивают.
Решено
Когда Ваш отчет помечен как устраненный, сообщаемая уязвимость была исправлена. В этот момент похлопайте себя по голове, и порадуйтесь тому, что Вы сделали Интернет немного безопаснее. Если Вы участвуете в платной программе вознаграждений, Вы также можете рассчитывать на получение платежа в этот момент!
Работа с конфликтом
Не все сообщения могут быть решены быстро и гладко. Конфликты неизбежны, и случается, когда хакер и служба безопасности расходятся во мнениях относительно достоверности ошибки, серьезность ошибки или соответствующей суммы выплаты. Даже так, конфликты могут разрушить Вашу репутацию хакера, поэтому решайте их профессионально. Это является ключом к успешной карьере охотника за ошибками. Вот что Вы должны сделать, если Вы окажетесь в конфликте с командой безопасности. Если Вы не согласны с командой безопасности по поводу достоверности ошибки, сначала убедитесь, что вся информация в Вашем первоначальном отчете верна. Часто, службы безопасности помечают отчеты как информативные или неприменимые из-за технических ошибках или ошибок в написании. Например, если вы указали неверные URL-адреса в POC, служба безопасности не сможет воспроизвести проблему. Если это вызвало разногласия, отправьте последующий отчет с правильной информацией, как как можно скорее.
С другой стороны, если Вы не ошиблись в отчете, но все же считаете, что они неправильно обозначили проблему, отправьте дополнительное объяснение, почему Вы считаете, что ошибка связана с безопасностью. Если это все еще не решает недоразумение, Вы можете обратиться за посредничеством к платформе Bug Bounty или других инженеров по безопасности в команде.
Большую часть времени другим трудно увидеть влияние уязвимости, если она не принадлежит к известному классу ошибок. Если группа безопасности отклоняет серьезность проблемы, о которой сообщается, Вы должны объяснить некоторые потенциальные сценарии атак, чтобы полностью проиллюстрировать ее влияние.
Наконец, если Вы недовольны суммой вознаграждения, сообщите об этом без обид. Спросите у организации причины назначения этой награды и объясните, почему Вы считаете, что заслуживаете более высокой награды. Например, если лицо, отвечающее за Ваш отчет, недооценило серьезность ошибки, Вы можете подробно рассказать о влиянии проблемы, когда попросите более высокую награду. Что бы Вы ни делали, всегда избегайте просить больше денег, без объяснений.
Помните, все мы делаем ошибки. Если Вы считаете, что человек, занимающийся Вашим отчетом, неправильно решает вопрос, вежливо попросите его о пересмотре. Как только Вы сделали Ваше дело, уважайте окончательное решение компании об исправлении и вознаграждении.
Построение партнерства
Путешествие по вознаграждениям за ошибками не заканчивается после того, как Вы разрешили отчет. Вы должны стремиться к формированию долгосрочных партнерских отношений с организациями. Это может помочь решить Ваши жалобы более гладко и может даже привести к собеседованию или предложению о работе. Вы можете наладить хорошие отношения с компаниями, уважением их времени и общение с профессионалами.
Во-первых, завоевывайте уважение, всегда отправляя проверенные отчеты. Не сломайте доверие компании, рассылая спам, приставая к ним за деньги или устного оскорбления службы безопасности. В свою очередь, они будут уважать вас и расставлять приоритеты, как исследователю. Компании часто блокируют охотников, которые проявляют неуважение, поэтому любой ценой избегайте попадания в эти категории.
Также изучите стиль общения каждой организации, с которой Вы работаете. Сколько подробностей они ожидают в своих отчетах? Вы можете узнать о стиле общения команды безопасности, читая их публично обнародованные отчеты, или путем включения их отзывов о Ваших отчетах в будущие сообщения. Они ожидают много фотографий и видео, чтобы задокументировать ошибку? Настройте свои отчеты, чтобы облегчить работу команды.
Наконец, убедитесь, что Вы поддерживаете команду безопасности, пока они не решат проблему. Многие организации будут платить Вам вознаграждение за сортировку отчетов, но, пожалуйста, не бросайте службу безопасности после того, как получите награду! Если это запрашивается, дайте совет, чтобы уменьшить уязвимость, и помочь командам безопасности подтверждением, что проблема устранена. Иногда организации просят Вас проводить платные повторные испытания. Всегда пользуйтесь этой возможностью, если можете. Вы не только заработаете деньги, но и поможете компаниям решить вопрос быстрее.
На этом все. Всем хорошего дня!
#1 Bug Bounty — Руководство по поиску веб-уязвимостей и сообщениям о них. Введение.
#2 Bug Bounty. Выбор программы Bug Bounty.
#3 Bug Bounty. Типы активов в Bug Bounty.
#4 Bug Bounty. Платформы Bug Bounty.
#5 Bug Bounty. Скоуп, выплаты и время отклика.
#6 Bug Bounty. Частные программы.