طرح تشویقی گزارش خطا

گزارش باگ

سلام.

در چند سال گذشته تقریبا 6 سال ما به بهبود سایت و آپدیت سایت پرداخته ایم و لازم دونستیم از امنیت سایت اطلاعاتی کسب کنیم و در این طرح ما نیاز به برسی امنیت سایت خود داریم و از برنامه نویسان و علاقه مندان در طراحی وب و… دعوت به عمل می آوریم که در صورت گزارش باگ به ما هدیه ای به مبلغ 2 تا 25 میلیون تومان تقدیم میکنیم میزان هدیه بستگی به نوع آسیب پذیری است ، توجه داشته باشید که گزارش ها باید در ارتباط با امنیت باشند نه طرح گرافیکی و سایر موارد

و همچنین : 

قبل از برطرف شدن خطای گزارش شده ، هیچگونه اطلاعاتی در مورد آن را عمومی نکرده یا با دیگران به اشتراک نگذارید . بدون رضایت افراد با حساب کاربری آن‌ها تعاملی نداشته باشید و از شکستن حریم شخصی افراد و ایجاد مشکل در اطلاعات دیگران اجتناب کنید. همچنین به هیچ عنوان از مشکلات که یافته‌اید، بهره‌برداری و سوءاستفاده نکنید و به قوانین کشور پایبند باشید. با توجه به اهمیت خطای گزارش شده از سوی شما، تونیکو به پاس قدردانی هدیه‌ای به مبلغ گفته شده در نظر گرفته است .
 

 

مواردی که باید در ساختار گزارش باگ رعایت شود

عنوان آسیب‌پذیری

عنوان مناسب برای گزارش آسیب‌پذیری خود انتخاب کنید به نحوی که خواننده با نگاه کردن به عنوان هدف گزارش آسیب‌پذیری را متوجه شود. برای مثال:

 XSS in test.ir 

چکیده آسیب‌پذیری

قبل از اینکه شروع به نوشتن گزارش کاملی از آسیب‌پذیری کنید، خلاصه‌ای از عملکرد سایت و دلیل وجود باگ را شرح دهید. در بعضی از موارد مراحل اکسپلویت آسیب‌پذیری پیچیده است و این بخش می‌تواند درک جزئیات باگ را برای تیم تونیکو ساده‌تر کند.

نمونه اطلاعات بدست آمده:

اگر اطلاعات بسیار حساسی افشا شود، باید صریحا را اعلام شود. تیم تونیکو متوجه سطح حساسیت اطلاعات خواهد شد. ولی ممکن است عدم بیان حساسیت اطلاعات در بعضی مواقع منجربه بازگشت گزارش به متخصص و کاهش ارزش باگ شود.

نحوه تست:

تمام مراحل اجرای اکسپلویت و اجرای مجدد آسیب‌پذیری قدم به قدم توضیح داده شود که شامل المان آسیب‌پذیری و پیلود استفاده شده می‌شود.

درخواست و پاسخ HTTP

درخواست و پاسخ آسیب‌پذیر HTTP در گزارش آسیب‌پذیری یا POC بیان گردد.

عکس از صفحه خروجی اکسپلویت آسیب‌پذیری

عکس از صفحه خروجی اکسپلویت آسیب‌پذیری در بیشتر مواقع مفید است. گاهی اوقات، رابط کاربری بسیار شلوغ است و شامل دکمه‌ها ، فرم‌ها و منوها است. در این حالت، به اشتراک گذاشتن عکس‌های صفحه با اشاره به منطقه آسیب‌پذیر گزارش شما را بهینه‌تر می‌کند.

ویدیو مراحل اکسپلویت آسیب‌پذیری

مراحل انجام اکسپلویت آسیب‌پذیری بهتر است ضبط شود و همراه گزارش آسیب‌پذیری به صورت ویدیو فرستاده شود.

بازتولید اکسپلویت آسیب‌پذیری

قبل از ارسال گزارش، گزارش خود را بخوانید و براساس گزارشی که نوشتید مراحل اکسپلویت آسیب‌پذیری را انجام دهید. تمام مراحل اکسپلویت آسیب‌پذیری به شکل شفاف گفته شود برای مثال، اسکریپت یا پیلودی که برای اکسپلویت آسیب‌پذیری استفاده شده است در گزارش آورده شود. این کار به تیم تونیکو در فرایند اعتبارسنجی و اجرای مجدد باگ کمک فراوانی می‌کند. تنها خروجی نهایی اکسپلویت در باگ مورد پذیرش واقع نمی‌شود.

اثر باگ

یک گزارش خوب به بیان اثرباگ بر هدف ارزیابی شده در باگ اشاره می‌کند. این قسمت می‌تواند ارزش باگ را افزایش دهد.

راهکار ایمن سازی

این بخش از گزارش معمولا اختیاری است و راهکار ایمن سازی به شرکت هدف در رفع سریع‌تر آسیب‌پذیری کمک فراوانی می‌کند.

نمونه‌ای از یک گزارش کامل آسیب‌پذیری

عنوان آسیب‌پذیری:

آسیب‌پذیری XSS در example.com

خلاصه:

  • معرفی عملکرد و ویژگی‌های نرم‌افزار
  • نوع آسیب‌پذیری

نمونه اطلاعات بدست آمده:

  • مشخصات کاربران
  • نام کاربری و رمزعبور
  • و موارد دیگر

نحوه تست:

  1. مرحله اول
  2. مرحله دوم . . .

درخواست و پاسخ HTTP آسیب‌پذیر

نمونه درخواست آسیب‌پذیری

GET /js HTTP/1.1
 Host: example.coom
 Cookie: PHPSESSID
 Accept: /

نمونه پاسخ آسیب‌پذیری

HTTP/1.1 200 OK
 Date: Sun, 23 May 2021 12:27:27 GMT
 Server:---
 Last-Modified: Sun, 24 Sep 2017 14:42:21 GMT

فایل‌های ضمیمه و قابل ارائه (بدهی است ارسال با فرمت دیگر باز نخواهد شد و پیام نادیده گرفته خواهد شد ):

  • example.pdf
  • example.mp4
  • example.txt
  • example.jpg
  • example.png

اثر باگ:

  • اطلاعات اکانت کاربر مانند نام، نام‌خانوادگی و آدرس افشا می‌شود
  • امکان د راختیار گرفتن اکانت مدیر سیستم وجود دارد

راهکار ایمن‌سازی:

  • پیکربندی صحیح وف برای بلاک نمودن درخواستهای مخرب
  • پیاده سازی مکانیزم ارور هندلینگ

 

فرم ارسال گزارش

 

تمام آنچه که باید ارسال کنید رو به ایمیل vahidmirzaei9877pol { at } gmail.com در یک فایل zip با فرمت گفته شده و مرتبط با گزارش باگ ارسال کنید . فایل zip نباید بیشتر از 100 مگابایت باشد .