نوشتن گزارش آسیب پذیری خوب

نوشتن گزارش آسیب پذیری خوب کار سختی نیست به شرطی که وقت بزاری و این متن رو تا آخر مطالعه کنی 😉 

زمان نوشتن یک گزارش آسیب پذیری باید تا حد امکان اطلاعاتی در اختیار تیم مدیریت قرار بگیره تا اعتبار گزارش شما تایید بشه.

– عنوان گزارش

عنوان گزارش خوب ترکیبی از نوع آسیب پذیری ، دامنه یا نتیجه نهایی است و مشخص کردن بخشی که در آنجا این آسیب پذیری رخ می دهد ( این می تواند یک پارامتر درخواست یا یک روش حمله باشد).

عنوان گزارش باید توصیفی باشد و روی نکته اصلی تمرکز کند ، به عنوان مثال :

“Sql Injection at Target.com/with method xpath”

– توضیحات و مقدمه گزارش

این در واقع مقدمه ای کوتاه در مورد نوع آسیب پذیری ، علل به وجود آمدن آن و بخشی است که آسیب پذیری در آن به وجود آمده است.

– تفسیر

این بخش باید از دید هکر نوشته شود و شامل تصاویر و ویدئوهایی است که درک آسیب پذیری را برای تیم برنامه نویسی سایت مورد نظر ممکن می کند.

*مطمئن شوید که تمام مراحل را به صورت کامل و در عین حال ساده توضیح داده باشید.

– ابزارها و کدها

اگر در طی حمله از ابزار و یا قطعه کدی استفاده کردید آن را در گزارش قرار دهید.

البته می توانید این موارد را در بخش تفسیر نیز قرار دهید.

برای نمونه در حفره امنیتی XSS می توانید یک قطعه کد ساده برای نمایش هشدار روی صفحه در این بخش قرار دهید و نیازی به چندین مثال نیست.

– بخش اضافی

در گزارش هایی که حفره امنیتی پیچیده تر است ممکن است برای پیاده سازی حمله شرایط خاصی نیاز باشد که در این صورت می توانید آن شرایط را در این بخش شرح دهید.

– تاثیر آسیب پذیری

سعی کنید توضیح دهید مهاجم با این آسیب پذیری چه کاری می تواند انجام دهد ، به چه اطلاعاتی می تواند دسترسی داشته باشد و این مسئله چگونه سایر کاربران سیستم را تحت تأثیر قرار می دهد.

هرچه شدت آسیب پذیری بیشتر باشد جایزه دریافتی شما هم بیشتر خواهد بود 😀 

– توصیه

در این بخش برای رفع آسیب پذیری روش هایی رو پیشنهاد می دهیم (این بخش اختیاری است).

– مرجع

در انتهای گزارش قرار دارد و حاوی پیوندهایی به سایتهای خارجی مربوط به آسیب پذیری است.

این بخش اختیاری است و اغلب فقط درصورتی که گزارش شامل تکنیک های حمله جدید یا پیچیده ای باشد ، گنجانده شده است.

نمونه یک فرم گزارش را در تصویر زیر مشاهده می کنید:

البته در بعضی موارد گزارش می تواند ساده تر نوشته شود و بعضی از مولفه ها استفاده نشوند.

اینها مؤلفه های کلی گزارش آسیب پذیری خوب و مفصل هستند.

در صورتی که اطلاعات کافی در گزارش ثبت شود ، نه تنها گزارش را خواندنی و آسان می کند ، بلکه به تیم امنیتی نیز کمک می کند تا به سرعت مشکل را شناسایی و برطرف کند. همچنین گاهی اوقات مبلغ جایزه را افزایش می دهد.