ソース:
訳:
脆弱性レポートを作成するときは、セキュリティ チームがレポートを理解し、迅速に処理できるように、できるだけ多くの情報を提供する必要があります。
そうしないと、バグの修正に時間がかかることになります。
HackerOne の記事「ステップバイステップ: 優れた脆弱性レポートの書き方」から、この記事では、優れた詳細な脆弱性レポートを作成するために必要な追加セクションを含め、各コンポーネントについて簡単に説明します。
- 最初の最も重要なコンポーネントは レポートのタイトル です。
適切なレポートのタイトルは、脆弱性の種類、ドメインまたはエンドポイント、および脆弱性が発生する場所を組み合わせたものです。
これはリクエスト パラメーターまたは攻撃方法である可能性があります。
レポートのタイトルは、説明的で要点に焦点を当てたものにする必要があります
(例: "Stored XSS at ABC.com/post via msg parameter")。
- Description(説明) はレポートの導入部分です。
これはレポート タイトルの短い説明と考えることができ、報告者は脆弱なエンドポイントまたはコンポーネントに関する一般的な情報を示し、その後に見つかった脆弱性の種類と原因を示します。
- Reproduction(再現)は レポートの最も重要な部分です。
これは攻撃者の視点で書かれており、セキュリティ チームが従うべき詳細な手順が含まれています。
添付された画像、概念実証ファイル、またはキャプチャされたビデオ リンクは、複雑な手順の一部を説明するために使用できます。
レポートの確認と修正を短時間で行えるように、必要な手順がすべて含まれていることを確認してください。
- 攻撃ベクトルまたはペイロード(Attack vector or payload)には、 攻撃を実行するために使用されるツールまたはコマンドが含まれています。
これは通常、複製に含まれるか、別のセクションになる場合があります。
XSS や RCE などのレポートは、デモンストレーションとして機能する入力文字列またはコマンドを提供する必要がありますが、安全に実行できる必要があります。
たとえば、XSS レポートには、アラート ボックスを表示する単純なコマンドで十分です。
- より複雑な脆弱性の場合、報告者は 悪用可能性の(exploitability) 攻撃が機能する事例と条件を説明する セクションを提供する場合があります。
特権昇格やアクセス制御バイパスに関するほとんどのレポートには説明が必要で、さまざまなエンドポイントに依存し、ユーザーの操作が必要なため、SSRF や SQL インジェクションに関するレポートよりも複雑です。
- 脆弱性の影響(impact)は レポートの重大度を反映しています。 攻撃の結果を参照して、攻撃者が何ができるのか、どのような情報にアクセスできるのか、そしてそれがシステム内の他のユーザーにどのような影響を与えるのかを説明してください。
重大度が高くなるほど、授与される報奨金も高くなります。
- 推奨事項(Recommendation) セクションでは、セキュリティ チームが脆弱性を解決するために考えられる解決策をオプションで提供します。 レポートの他の場所で説明されていない場合は、脆弱性の原因も示します。
- リファレンス(Reference)は レポートの下部にあり、脆弱性に関連する外部サイトへのリンクが含まれています。 このセクションはオプションであり、多くの場合、レポートに新しい攻撃手法または複雑な攻撃手法が含まれている場合にのみ含まれます。
Sample Report Form:
一部のコンポーネントは、単純なレポートではオプションです。
たとえば、反映された DOM ベースの XSS レポートのほとんどは、既知の攻撃タイプであるため、短い説明と再現手順のみを含めることができます。
非常に複雑な場合、多くのエンドポイントが相互に関連している場合は複数の複製セクションがあっても問題ありません。
また、2 つ以上の送信に分割することもできます。
これらは、優れた詳細な脆弱性レポートの一般的なコンポーネントです。
十分な情報を含めることで、レポートが読みやすく追跡しやすくなるだけでなく、セキュリティ チームがバグを迅速に再現して修正するのにも役立ちます。
また、場合によっては報奨金の額が増加することもあります。
参照:
この記事は、HackerOne プラットフォームのドキュメントの一部です: https://docs.hackerone.com/hackers/quality-reports.html
ほなほな。
