All posts
Blog

Wie ich gelernt habe, bessere Bug-Bounty-Berichte zu schreiben

Owen McCarthy
July 31, 2023

Jeder, der daran interessiert ist, Sicherheitslücken an ein Bug-Bounty-Programm zu senden, führt am Ende eine Google-Suche nach „Wie schreibe ich einen Bug-Report?“ durch. und findet das:

Ein guter Bericht wird dieses allgemeine Format haben:

  • Titel
  • Beschreibung
  • Schritte zur Fortpflanzung
  • Machbarkeitsnachweis und/oder Screenshots
  • Auswirkung
  • Problembehebung und Referenz

Dann wird der Bericht als informativ geschlossen und es erfolgt keine Auszahlung. Es ist nicht immer die Sicherheitslücke, die das Problem ist. Bei der Durchsicht der Bug Bounty-Berichte, die wir hier bei FloQast erhalten, habe ich gesehen, was für einen Bericht funktioniert und was nicht. Erlauben Sie mir also, anstelle einer Zusammenfassung der Abschnitte die Vor- und Nachteile der einzelnen Abschnitte zu erläutern, damit Sie das volle Kopfgeld für Ihre Entdeckung erhalten.

Titel

Der Titel Ihres Berichts sollte kurz sein und die Sicherheitslücke sowie den Ort, an dem sie zu finden ist, enthalten, z. B. „Open Redirect in floqast.app/login“. Sie benötigen genügend Details, um es von anderen Ergebnissen mit derselben Sicherheitslücke zu unterscheiden, aber nicht so sehr, dass Teile der Beschreibung im Titel enthalten sind.

Beschreibung

Beschreiben Sie das Ergebnis, einschließlich der Informationen im Titel. Was ist die Sicherheitslücke und wie haben Sie sie gefunden? Scheuen Sie sich nicht, diesen Abschnitt einfach zu halten, da viele Informationen darüber, wo Sie die Sicherheitslücke gefunden haben und wie sie funktioniert, ausführlicher beschrieben werden können in der Fortpflanzungsschritte und Auswirkung Sektionen.

Hackerman

Schritte zur Fortpflanzung

Beschreiben Sie den Prozess, wie die Sicherheitsanfälligkeit reproduziert werden kann, damit das Bug-Bounty-Programm Ihre Feststellung validieren kann. Geben Sie alle notwendigen Details an, wie Sie das Ergebnis belegen können, aber geben Sie auch an, warum Sie bestimmte Schritte unternommen haben und welche Annahmen Sie treffen.

💡 Es ist wichtig, dass Sie angeben, warum Sie bestimmte Schritte in Ihrem Prozess unternommen haben, da dies dazu führen kann, dass Sie andere Stellen finden, an denen diese Feststellung zutrifft und die Wirkung erhöhen würde. Außerdem kann dies oft viel Zeit bei der Auswahl und Behebung sparen, da es Ihnen helfen kann, Fehler aufzuzeigen, die Sie möglicherweise gemacht haben.

Wenn Sie beispielsweise aufgrund einer DNS-Suche eine Annahme über die IP-Adressen des Unternehmens getroffen haben und das der Grund ist, warum Sie auf eine bestimmte IP abzielen, kann es dem Triage-Prozess Tage ersparen, die Netzwerkressourcen des Unternehmens zu durchsuchen, um eine IP zu finden, wenn sie Ihnen stattdessen sagen können, dass ihnen nicht der gesamte IP-Bereich gehört und dass das Gerät wahrscheinlich nicht dem Unternehmen gehört.

Machbarkeitsnachweis und/oder Screenshots

Hier fügen Sie den Proof of Concept (POC) -Code hinzu, falls Code zur Reproduktion oder Demonstration der Sicherheitsanfälligkeit erforderlich ist. Screenshots sind auch eine gute Möglichkeit, die Sicherheitsanfälligkeit zu demonstrieren, was in den Validierungsphasen des Bug-Bounty-Programms viel Zeit sparen kann.

Es gibt nicht zu viele Screenshots für einen Bericht!

Auswirkung

Dies ist ohne Zweifel der am wichtigsten Abschnitt eines Bug-Bounty-Berichts. Beschreiben Sie, wie sich diese Sicherheitslücke auf das Unternehmen auswirken kann. Was würde passieren, wenn diese Sicherheitsanfälligkeit ausgenutzt würde? Wie kann ein Angreifer es verwenden?

Denken Sie daran, sich auf das zu konzentrieren, was das Unternehmen am meisten betrifft, Dinge wie:

  • Einhaltung der Vorschriften der Zahlungskartenbranche (PCI)
  • Authentifizierung
  • Datenbanken
  • Informationen zum Nutzer

Selbst Sicherheitslücken mit geringerem Schweregrad, die diese Systeme betreffen, werden sich stark auf das Unternehmen auswirken. Seien Sie ehrlich, was die tatsächlichen Auswirkungen angeht, übertreiben Sie die Sicherheitsanfälligkeit nicht und behaupten Sie nicht, dass sie zu Remote Code Execution (RCE) führen kann.

💡 Ein Ergebnis, das ehrlich sagen kann, dass es dazu führen kann, dass Benutzerinformationen durchgesickert sind, wird eine große Auszahlung erhalten, während ein Ergebnis, das behauptet, ohne Beweise zu RCE zu führen, ignoriert wird.

Problembehebung und Referenz

Wenn möglich, recherchieren Sie Ihre Sicherheitslücke und geben Sie Methoden zur Behebung an und alle weiteren Informationen, die Sie finden. Dies kann viel Zeit für den Korrekturprozess sparen und Ihnen eine schnellere Antwort vom Bug-Bounty-Programm ermöglichen, auch wenn es so einfach ist wie ein Link zu einer verwandten StackOverflow-Frage.

Wenn Sie nichts Spezifisches finden, können Sie allgemeine Informationen über die Sicherheitsanfälligkeit von OWASP oder einem CWE von http://cwe.mitre.org aber ich habe nicht das Gefühl, dass Sie diese Informationen angeben müssen, wenn Sie nichts Hilfreiches finden.

Fazit

Um einen besseren Bug-Bounty-Bericht zu erstellen, sollten Sie sich auf folgende Dinge konzentrieren Auswirkung und Vergleichbarkeit. Die wichtigsten Dinge, nach denen das Unternehmen sucht, das das Bug-Bounty-Programm durchführt, sind, wie sich dieser Befund auf sein Unternehmen auswirkt, wenn der Befund echt ist und ob sich die Behebung der Sicherheitsanfälligkeit lohnt. Indem Sie sich auf die Auswirkungen konzentrieren, können Sie ihnen zeigen, dass eine Behebung die Mühe wert ist und dass die Sicherheitsanfälligkeit eine wertvolle Entdeckung ist. Indem Sie sich auf die Reproduzierbarkeit konzentrieren, können sie Ihre Ergebnisse schnell validieren und untersuchen, wie sie behoben werden kann.

Denke daran halte es einfach. Zusätzliche Informationen sind nett, aber eine klare und präzise Beschreibung Ihres Befundes beschleunigt den Auswahlprozess und Sie erhalten schneller eine Antwort.

Wenn Sie Fragen haben oder mehr erfahren möchten, schauen Sie sich bitte die enthaltenen Links in der Für weitere Informationen Abschnitt. Wenn Sie ein FloQAst-Mitarbeiter sind, können Sie sich gerne an das AppSec-Team oder mich auf Slack wenden. Wir freuen uns immer, über Sicherheit zu chatten, und wir unterrichten gerne! Wenn Sie kein FloQast-Mitarbeiter sind, können Sie mich gerne kontaktieren unter LinkedIn oder meine E-Mail: owen.mccarthy@floqast.com.

Wenn Sie interessiert sind, schauen Sie sich das Bug-Bounty-Programm von FloqAst an: https://hackerone.com/floqast?type=team

Für weitere Informationen

  1. https://medium.com/@tolo7010/writing-a-good-and-detailed-vulnerability-report-bdb86cedcff
  2. https://docs.hackerone.com/hackers/quality-reports.html
  3. https://www.pcisecuritystandards.org/
  4. https://cwe.mitre.org/
Owen McCarthy
Owen is a Security Engineer at FloQast. He runs the FloQast HackerOne Bug Bounty Program as well as our SAST and enjoys taking on new engineering and security projects in his spare time. Owen is always happy to chat about security or answer any questions you might have, so feel free to reach out!
Expand