ch20.

a4f32d5d · wizardforcel · 27e6c0a0 · a4f32d5d · a4f32d5d
隐藏空白更改
内联并排

Showing with 65 addition and 0 deletion

19.md 19.md +1 -0

20.md 20.md +64 -0

未找到文件。
--- a/19.md
+++ b/19.md
+# 十九、起步
\ No newline at end of file
--- a/20.md
+++ b/20.md
+# 二十、漏洞报告
+
+> 作者：Peter Yaworski
+
+> 译者：[飞龙](https://github.com/)
+
+> 协议：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
+
+所以这一天终于来了，你发现了你的第一个漏洞。 首先，恭喜你！ 认真来讲，发现漏洞并不容易，但是不爽。 
+
+我的第一条建议是放松，不要过度兴奋。 我知道在提交报告时的极度兴奋感，以及当你被告知它不是漏洞，公司报告了漏洞报告，损害了你在漏洞平台上的声望，被拒绝的沮丧感。我想帮你避免它们。所以，第一件事是首先：
+
+## 阅读披露准则
+
+在 HackerOne 和 Bugcrowd 上，每个参与公司都列出了范围内外的程序。希望您先阅读它们，以免您浪费时间。 但是如果没有，请现在阅读。 确保你发现的是未发现的，而不在他们的程序之外。
+
+这是我以前的一个痛苦的例子 - 我在 Shopify 发现的第一个漏洞，如果您在文本编辑器中提交格式不正确的 HTML，其解析器就会对其进行更正并存储 XSS。 我非常兴奋，因为我的挖掘是有回报的。 我无法足够快递提交报告。
+
+太好了，我点击提交，等待我的 500 美元的奖金。 相反，他们礼貌地告诉我，这是一个已知的漏洞，他们要求研究人员不要提交。 然后这个工单被关闭的，我失去了 5 分。 我想钻进洞里。 这是一个惨痛的教训。
+
+从我的错误中学习，要阅读准则。
+
+## 包含细节。之后包含更多东西
+
+如果您希望认真对待报告，请提供详细的报告，其中至少包括：
+
+   用于查找漏洞的 URL 和任何受影响的参数
+   浏览器，操作系统（如适用）和/或应用程序版本的说明
+   对感知影响的描述。 这个 bug 可能如何被利用？
+   重现错误的步骤
+
+这些标准对于 Hackerone 的主要公司来说都很常见，包括雅虎，Twitter，Dropbox 等。如果您想更进一步，我建议您添加屏幕截图或视频验证（POC）。 两者都对公司有很大帮助，并将帮助他们了解漏洞。
+
+在这个阶段，您还需要考虑该网站的影响。 例如，由于用户和交互数量众多，Twitter 上存储的 XSS 可能是一个非常严重的问题。 相比之下，一个交互有限的站点可能不会将这个漏洞视为严重。不同的是，敏感的网站，如 PornHub 的隐私泄露可能比在 Twitter 上更重要，后者大多数用户信息已经是公开的（而不会尴尬？）。
+
+## 确认漏洞
+
+您已阅读准则，您已经起草了您的报告，您已经添加了截图。等一下，并确保您的报告实际上是一个漏洞。 
+
+例如，如果您要报告公司在其标题中没有使用 CSRF 令牌，那么您是否看到了，要传递的参数是否包含一个像 CSRF 令牌一样的标记，但是标签不一样？ 
+
+在提交报告之前，我无法鼓励您确保已经验证了此漏洞。 考虑你所发现的重要漏洞，只是让你意识到你在测试时弄错了一些东西，这非常令人失望。
+
+在您提交该漏洞之前，请自行决定是否需要额外的时间并确认该漏洞。
+
+## 尊重厂商
+
+根据 HackerOne 公司创建的测试流程（是的，您可以作为研究人员进行测试），当公司启动新的漏洞奖励计划时，它们可能会收到大量报告。 提交之后，让公司有机会审查您的报告并回复您。 
+
+一些公司在他们的奖励准则上发布时间表，而其他公司则没有。 平衡你的兴奋与他们的工作量。 根据我与 HackerOne 支持者的对话，如果您在至少两周内没有收到公司的消息，他们将帮助您进行跟进。 
+
+在你选择这条路线之前，在报告上发布礼貌的消息，询问是否有更新。 大多数时候，公司会回应并让您了解情况。 如果他们并没有留出太多时间，在问题升级之前再试一次。 另一方面，如果公司已经确认了这个漏洞，一旦完成，与他们一起确认修复。
+
+在写这本书的时候，我很幸运地和 Adam Bacchus 聊天，他是截至 2016 年 5 月的 HackerOne 团队的新成员，任首席奖励官，我们的对话真的让我开阔了眼界。 在他的背景中，Adam 拥有 Snap Chat 和 Google 的工作经验。在 Snap Chat 时，他衔接了安全团队，和其他软件工程团队。在 Google 时，他在漏洞管理团队工作，并帮助执行 Google 漏洞奖励计划。
+
+亚当帮助我理解了，运行奖励计划时，有一些分析者会遇到的问题，包括：
+
+   噪音：不幸的是，漏洞奖励计划会收到大量无效的报告，HackerOne 和 BugCrowd 都已经写过这个。 我知道我绝对有贡献，希望这本书可以帮助你避免这个问题，因为提交无效报告会为您和奖励计划浪费时间和金钱。
+
+   优先级：漏洞计划必须找一些方法来为漏洞修复排序。 当您有多个具有类似影响的漏洞，但报告持续不断进入时，这非常困难，奖励计划面临严峻的挑战。
+
+   验证：在分析报告时，必须验证漏洞。 这就是为什么我们的黑客必须提供明确的指示，并解释我们发现的内容，如何重现它以及为什么它是重要的。 只是提供一个视频并不能切中它。
+
+   资源：并不是每个公司都能雇得起全职工作人员来运行奖励计划。 有些计划很幸运，有专门的人对报告做出回应，而其他计划则由工作人员兼任。  因此，公司可能会有轮流的时间表，人们轮流回应报告。提供必要信息中的任何信息差距或延误都会产生严重影响。