二十、漏洞報告 · Web Hacking 101 中文版

# 二十、漏洞報告 > 作者：Peter Yaworski > 譯者：[飛龍](https://github.com/) > 協議：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/) 所以這一天終于來了，你發現了你的第一個漏洞。首先，恭喜你！認真來講，發現漏洞并不容易，但是有一些不爽的事情。我的第一條建議是放松，不要過度興奮。我知道在提交報告時的極度興奮感，以及當你被告知它不是漏洞，公司關閉了漏洞報告，損害了你在漏洞平臺上的聲望，被拒絕的沮喪感。我想幫你避免它們。所以，第一件事是首先： ## 閱讀披露準則在 HackerOne 和 Bugcrowd 上，每個參與公司都列出了范圍內外的程序。希望你先閱讀它們，以免你浪費時間。但是如果沒有，請現在閱讀。確保你發現的是未發現的，而不在他們的程序之外。這是我以前的一個痛苦的例子 - 我在 Shopify 發現的第一個漏洞，如果你在文本編輯器中提交格式不正確的 HTML，其解析器就會對其進行更正并存儲 XSS。我非常興奮，因為我的挖掘是有回報的。我無法足夠快地提交報告。太好了，我點擊提交，等待我的 500 美元的獎金。相反，他們禮貌地告訴我，這是一個已知的漏洞，他們要求研究人員不要提交。然后這個工單被關閉了，我失去了 5 分。我想鉆進洞里。這是一個慘痛的教訓。從我的錯誤中學習，要閱讀準則。 ## 包含細節。之后包含更多東西如果你希望認真對待報告，請提供詳細的報告，其中至少包括： + 用于查找漏洞的 URL 和任何受影響的參數 + 瀏覽器，操作系統（如適用）和/或應用程序版本的說明 + 對感知影響的描述。這個 bug 可能如何被利用？ + 重現錯誤的步驟這些標準對于 Hackerone 的主要公司來說都很常見，包括雅虎，Twitter，Dropbox 等。如果你想更進一步，我建議你添加屏幕截圖或視頻驗證（POC）。兩者都對公司有很大幫助，并將幫助他們了解漏洞。在這個階段，你還需要考慮該網站的影響。例如，由于用戶和交互數量眾多，Twitter 上存儲的 XSS 可能是一個非常嚴重的問題。相比之下，一個交互有限的站點可能不會將這個漏洞視為嚴重。不同的是，敏感的網站，如 PornHub 的隱私泄露可能比在 Twitter 上更重要，后者大多數用戶信息已經是公開的（而不會尷尬？）。 ## 確認漏洞你已閱讀準則，你已經起草了你的報告，你已經添加了截圖。等一下，并確保你的報告實際上是一個漏洞。例如，如果你要報告公司在其標題中沒有使用 CSRF 令牌，那么你是否看到了，要傳遞的參數是否包含一個像 CSRF 令牌一樣的標記，但是標簽不一樣？在提交報告之前，我無法鼓勵你確保已經驗證了此漏洞。考慮你所發現的重要漏洞，只是讓你意識到你在測試時弄錯了一些東西，這非常令人失望。在你提交該漏洞之前，請自行決定是否需要額外的時間并確認該漏洞。 ## 尊重廠商根據 HackerOne 公司創建的測試流程（是的，你可以作為研究人員進行測試），當公司啟動新的漏洞獎勵計劃時，它們可能會收到大量報告。提交之后，讓公司有機會審查你的報告并回復你。一些公司在他們的獎勵準則上發布時間表，而其他公司則沒有。平衡你的興奮與他們的工作量。根據我與 HackerOne 支持者的對話，如果你在至少兩周內沒有收到公司的消息，他們將幫助你進行跟進。在你選擇這條路線之前，在報告上發布禮貌的消息，詢問是否有更新。大多數時候，公司會回應并讓你了解情況。如果他們并沒有留出太多時間，在問題升級之前再試一次。另一方面，如果公司已經確認了這個漏洞，一旦完成，與他們一起確認修復。在寫這本書的時候，我很幸運地和 Adam Bacchus 聊天，他是截至 2016 年 5 月的 HackerOne 團隊的新成員，任首席獎勵官，我們的對話真的讓我開闊了眼界。在他的背景中，Adam 擁有 Snap Chat 和 Google 的工作經驗。在 Snap Chat 時，他銜接了安全團隊，和其他軟件工程團隊。在 Google 時，他在漏洞管理團隊工作，并幫助執行 Google 漏洞獎勵計劃。亞當幫助我理解了，運行獎勵計劃時，有一些分析者會遇到的問題，包括： + 噪音：不幸的是，漏洞獎勵計劃會收到大量無效的報告，HackerOne 和 BugCrowd 都已經寫過這個。我知道我絕對有貢獻，希望這本書可以幫助你避免這個問題，因為提交無效報告會為你和獎勵計劃浪費時間和金錢。 + 優先級：漏洞計劃必須找一些方法來為漏洞修復排序。當你有多個具有類似影響的漏洞，但報告持續不斷進入時，這非常困難，獎勵計劃面臨嚴峻的挑戰。 + 驗證：在分析報告時，必須驗證漏洞。這就是為什么我們的黑客必須提供明確的指示，并解釋我們發現的內容，如何重現它以及為什么它是重要的。只是提供一個視頻并不能切中它。 + 資源：并不是每個公司都能雇得起全職工作人員來運行獎勵計劃。有些計劃很幸運，有專門的人對報告做出回應，而其他計劃則由工作人員兼任。因此，公司可能會有輪流的時間表，人們輪流回應報告。提供必要信息中的任何信息差距或延誤都會產生嚴重影響。 + 編寫修復：編碼需要時間，特別是如果有完整的開發生命周期的時候，包括調試，編寫回歸測試，分期部署，最后推送到生產環境。如果開發人員甚至不知道漏洞的根本原因怎么辦？這一切都需要時間，而我們黑客不耐煩，想要獎勵。這就是溝通交流的重點，每個人都需要相互尊重。 + 關系管理：黑客獎勵計劃希望黑客能夠回來。 HackerOne 已經在文章中寫到，在黑客向單個程序提交更多漏洞的同時，漏洞的影響如何增長。因此，獎勵方案需要找到一種方法來平衡發展這些關系。 + 媒體關系：漏洞可能會錯過，花費太長時間才能解決，或者被認為獎勵太低，總是有黑客會在 Twitter 或媒體上曝光的壓力。還有，這會對分析者造成影響，并影響他們與黑客發展關系和協作的方式。看完所有這一切，我的目標是真正有助于使這個過程人性化。我有兩方面的經驗，好的和壞的。然而最后，黑客和程序員將一起工作，了解每一個面臨的挑戰，這有助于改善各方面的成果。 ## 獎金如果你向支付獎金的公司提交了一個漏洞，請尊重他們對獎金金額的決定。根據 Joaro Abma（HackerOne 聯合創始人） Quora 上的回答：[我如何成為一個成功的漏洞賞金獵人？](https://www.quora.com/How-do-I-become-a-successful-Bug-bounty-hunter)： > 如果你不同意收到的金額，請討論你為什么相信它值得更高的獎勵。在沒有詳細說明你為什么相信的情況下，不要索要另一份獎金。作為回報，一家公司應該表示尊重你的時間和價值。 ## 不要在穿越池塘之前喊“你好” 在 2016 年 3 月 17 日，Mathias Karlsson 撰寫了一篇很牛并且很棒的博客文章，關于尋找可能的同源策略（SOP）繞過（同源策略是一個安全特性，它定義了 Web 瀏覽器如何允許腳本從網站訪問內容），我在這里包含一些內容。除此之外，Mathias 在 HackerOne 上有很好的成績 - 截至 2016 年 3 月 28 日，他發現了 109 個漏洞，在 Signal 上為第 97 個百分比，在 Impact 上是第 95 個，公司包括 HackerOne，Uber，Yahoo，CloudFlare 等。所以，“不要在穿越池塘之前喊‘你好’”是一個瑞典諺語，意思是你在絕對確定前不應該慶祝。你可能猜到我為什么說這個 - 挖漏洞并不總是充滿陽光和彩虹。根據 Mathias 的說法，他正在使用 Firefox，并注意到瀏覽器會接受格式錯誤的主機名（OSX），所以 URL `http://example.com..`會加載`example.com`，但是在主機頭中發送`example.com..`。然后他嘗試了`http://example.com..evil.com`并得到相同的結果。他立即知道了，這意味著 SOP 可以被繞過，因為 Flash 會將`http://example.com..evil.com`視為`*.evil.com`域下。他檢查了 Alexa 前 10000 名，發現有 7% 的網站可以被利用，包括`Yahoo.com`。他創建了一個 WriteUp，但決定做一些更多的確認。他檢查了一個同事，他們的虛擬機也證實了這個 bug。他更新了 Firefox，bug還在那里。然后他在 Twitter 暗示了他的發現。對他來說，Bug 已經驗證了，對吧？并不是。它所犯的錯誤就是它沒有將它的操作系統更新到最新版本。這樣做之后，Bug 就消失了。很明顯，這在 6 個月之前就有人報告了，并且更新到 OSX 10.0.5 會修復這個問題。我將其包含在這里來展示，即使優秀的黑客也可能弄錯，以及在報告之前確認 Bug 的利用十分重要。非常感謝 Mathias 讓我包含這個 - 我推薦關注它的 Twitter 動態`@avlidienbrunn`，以及`labs.detectify.com`，Mathias 在那里的文章中寫到了它。 ## 最后的話希望本章能幫助你，你最好準備撰寫一份“殺手”報告。在發送之前，請稍等一下，真正考慮一下報告 - 如果要公開披露和公開閱讀，你會感到自豪嗎？無論你提交了什么，你應該為提供支持做好準備，為公司，其他黑客和你自己辯護。我不是說這個來嚇到你，而是作為一些建議的話，我希望我最開始也能知道它。我最開始的時候，絕對提交了可疑的報告，因為我只是想上排行榜，并且助人為樂。但是，企業受到了轟炸。找到完全可重復的安全漏洞，并清楚地報告它更有幫助。你可能會想知道誰真正關心它 - 去問公司，以及在乎其他黑客的想法的人吧。這很公平。但至少在 HackerOne 上，你的報告是重要的，你的統計數據將被跟蹤，每當你收到有效的報告時，都會根據你的“Signal”記錄數據，范圍為 -10 到 7，可以平均顯示你的報告值： + 提交灌水，你會得到 -10 + 提交被拒絕，你會得到 -5 + 提交說明式信息，你會得到 0 + 提交可解決的報告，你會得到 7 同樣，誰在乎呢？ Signal 現在用于判斷誰能夠收到私有計劃的邀請，以及誰可以將報告提交給公開的計劃。私有計劃對于黑客來說，通常都是鮮肉 -- 這些站點剛剛進入漏洞獎勵計劃，僅僅向一部分黑客開放他們的站點。這意味著，潛在的漏洞和較少的競爭。對于報告給其它公司 -- 使用我的經驗作為一個警告的故事吧：我被邀請參加一個私有計劃，在一天之內，發現了八個漏洞。但是那天晚上，我向另一個計劃提交了一份報告，得到了一個無效。這使我的 Signal 到了 0.96。第二天，我再次向私有公司報告，并得到了通知 - 我的 Signal 太低了，我必須等待 30 天來儲存點數，并且其他公司要求 Signal 為 1.0。真是糟糕！雖然沒有人找到我在那段時間發現的漏洞，但是他們可能會花費我的錢。每一天我都檢查了我是否可以再次報告。從那以后，我發誓要提升我的 Signal ，你也應該這樣！祝挖掘順利！